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LAVORI IN CDRSD 



passato un mese dall'annuncio del cambio di 
periodicità di HJ e in questo numero 205 si cominciano 
ad intravedere alcune delle modifiche che avevamo in 
parte annunciato sul numero 204. In primo luogo una grafica 
più sobria, poi una specie di sezione speciale. Security Lab. 
che fa parte di un percorso particolare che abbiamo voluto 
intraprendere per capire se ci può essere spazio per una 
rivista parallela ad HJ. ma rivolta soprattutto alla sicurezza e 
trattata in chiave decisamente professionale (non che HJ. non 
lo sia. ma vorremmo capire se tra i numerosi professionisti IT 
che ci seguono ci possa essere questo genere di aspettativa). 
Vedremo... 

Ma tomiamo al presente, ovvero ad HJ. Al di là di tutte le 
modifiche che abbiamo apportato e apporteremo, la notizia 
più importante è l'affetto manifestato dai lettori e il loro 
incoraggiamento giunto sia via mail che attraverso le pagine 
del forum. 

La comunità di Hacker Journal è ricca di spunti, appassionata 
e tenacemente attaccata a queste 32 pagine aperte sul 
mondo underground. Per quanto ci riguarda vogliamo 
ripartire proprio da qui con tanto entusiasmo e rapporto di 
tutti. 

Nel frattempo stiamo anche lavorando alla versione pdf da 
distnbuire attraverso l'abbonamento on-line. Evidentemente 
questo comporterà una serie di modifiche tecniche 
all'infrastruttura del sito e ci vorrà qualche tempo, ma vi 
terremo informati. . . non temete. 

... e come sempre: buona lettura 



lackerjou 
sto indirizzo è stato crea 
inviare articoli, codici, spi 
idee. E' quindi proprio una 
sorta di "incubatore 
di idee". 



posta@hackerjournal.it 
E' l'account creato per 
l'omonima rubrica che è 
omparsa nelle pagine dell; 
;ta. A questo indirizzo dove 
'iare tutte le mail che volete 
vengano pubblicate su HJ. 

rdazione€$hackerjournal.it 
ìsto è l'indirizzo canonici 
Quello con cui potete avere 
un filo diretto, sempre, con 
la redazione, per qualsiasi 
stivo che non rientri nelle d 
ti categorie di 
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E stato pubblicato di recente 
un rapporto, da Akamai, 
sullo stato di internet 
che tocca diversi argomenti: 
l'origine degli attacchi informatici, 
l'adozione di banda larga e la 
connettività mobile, tra gli altri. 
Il dato riguarda un campione di 
oltre 70.000 server che gestiscono 
il 20% del traffico online globale. 
La città più veloce, in termini 
di scorribande via internet è, 
forse un po' a sorpresa ma non 
troppo: Masan (Corea del Sud). 
Con 59 città su 100, il Giappone 
ha il primato del maggior numero 
di città con la connessione più 
veloce, mentre sono solo 12 
le città degli Stati Uniti incluse 
nella classifica. Umea in Svezia, 
è la più veloce tra le 1 1 città 
europee presenti nell'elenco e 
si è classificata al 18 posto. 
Interessanti anche i dati sulle 
velocità massime di connessione. 
L'Asia è in testa anche in questa 
classifica, con Corea del Sud, 
Hong Kong e Giappone ai primi 
tre posti fra i 10 Paesi più veloci. 
Prima in assoluto è la Corea del 
Sud, con una media di 33 Mbps 
di velocità massima. In Italia, la 
media delle velocità massime 
di connessione è di 10,2 Mbps. 
Per quanto riguarda l'Europa, 
Romania, Svezia, Lettonia, Belgio, 
Portogallo e Bulgaria occupano 6 
dei rimanenti 7 posti in classifica, 
tutti registrando velocità 
massime di connessione in media 
superiori ai 15 Mbps, mentre 
gli Stati Uniti si sono piazzati 
ottavi con 16 Mbps. Nei dieci 
Paesi con la maggiore velocità 
di connessione media l'aumento 
di velocità è stato contenuto, 
con Hong Kong e Danimarca 



rimaste sostanzialmente 
stabili, mentre Giappone, 
Olanda e Svizzera hanno 
migliorato la velocità 
media del 3,5% circa 
rispetto allo scorso 
trimestre. In Italia, la velocità 
media di connessione è di 2,85 
Mbps. 

CONNETTIVITÀ INTERNET 

Nel primo trimestre del 2010, 
oltre 487 milioni di indirizzi IP 
unici si sono collegati da 233 
Paesi alla rete di Akamai, con 
un aumento del 7,2% rispetto al 
quarto trimestre 2009 e del 16% 
rispetto allo stesso trimestre 
dell'anno precedente. Mentre 
la variazione su base annuale è 
abbastanza coerente con i livelli 
osservati nell'ultimo trimestre 
del 2009, i cambiamenti su base 
trimestrale hanno registrato una 
crescita di circa il 75% rispetto 
al trimestre precedente, dato che 
indica un aumento del livello di 
penetrazione di Internet. Stati Uniti 
e Cina continuano a rappresentare 
circa il 40% degli indirizzi IP 
monitorati. Sono stati individuati 
184 Paesi con meno di un milione 
di indirizzi IP unici connessi alla 
rete di Akamai nel primo trimestre 
del 2010. In termini di crescita 
annuale del numero di indirizzi 
IP unici monitorati da Akamai» la 
Cina ha registrato un aumento del 
30%, più del doppio della crescita 
osservata negli Stati Uniti. 

CONNETTIVITÀ MOBILE 

Come nel quarto trimestre del 
2009, continua in Italia il divario 
di circa 2 Mbps tra il provider 




che offre la maggiore velocità 
media di connessione mobile 
(2,72 Mbps) e quello che offre la 
velocità minore (0,85 Mbps). Le 
velocità di connessione mobili più 
alte registrate in Italia vanno, a 
seconda dell'operatore, dai 4,73 
Mbps ai 9.66 Mbps. La media 
delle velocità massime registrate 
nelle reti mobili in tutto il mondo 
sono state piuttosto alte, con 
83 operatori su 109 che hanno 
superato la soglia dei 2 Mbps di 
velocità; 33 hanno registrato valori 
superiori ai 5 Mbps e 6 hanno 
addirittura oltrepassato i 10 Mbps. 

ATTACCHI INFORMATICI 

Nel primo trimestre del 2010 sono 
stati registrati attacchi informatici 
provenienti da 198 Paesi. In testa 
ancora la Russia, per il terzo 
trimestre consecutivo, con il 
12% del totale degli attacchi. 
Al secondo e al terzo posto si 
collocano gli Stati Uniti (10%) e la 
Cina (9,1%), seguiti da Taiwan e 
Brasile. Come nel quarto trimestre 
del 2009, l'Italia si posiziona al 
sesto posto, con il 4,4% del totale 
degli attacchi. 



ATTENZIONE LA SESTA PARTE DEL 
CORSO IN C. PREVISTA PER QUESTO 
NUMERO 205. SARÀ PUBBLICATA 
SUL PROSSIMO NUMERO. IL 206. 
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Arriva in Pdldnia 

IL PRIMD BANCDMAT 
BIDMETRICD 





Sarà la Polonia il primo 
stato europeo ad installare 
presso le banche BPS il 
bancomat biometrico. 
Si tratta di un'innovazione 
basata sulla tecnologia 
sviluppata dalla società 
giapponese Hitachi e 
largamente in uso in 
Giappone. 

La novità consiste nel 
fatto che non ci si dovrà 
più ricordare il tanto 
odiato PIN per poter 
effettuare un'operazione 
al bancomat ma sarà 
sufficiente appoggiare il 
proprio dito sull'apposito 
lettore. A questo punto 
l'identificazione non 
avverrà tramite lettura 
delle impronte digitali 
bensì verrà riconosciuto 

10 schema delle vene delle 
dita che verrà confrontato 
con l'immagine in possesso 
della banca. 

"Si tratta di una tecnica 
maggiormente affidabile 
rispetto a quella del 
riconoscimento delle 
impronte digitali," afferma 
Peter Jones, responsabile 
della sicurezza di Hitachi 
Europa. 

"A differenza delle impronte 
digitali, che lasciano una 
traccia e che possono 
essere potenzialmente 
riprodotte, le vene delle 
dita sono impossibili da 
replicare, perché si trovano 
sotto la superficie della 
pelle" continua Jones. 

11 primo bancomat 
biometrico in Polonia è già 
stato installato in una delle 
filiali della banca BPS di 
Varsavia ed entro la fine 



dell'anno ne dovrebbero 
essere installati altri 
quattro. 

Il bancomat biometrico è 
molto diffuso in Giappone 
dove le banche, in seguito 
ad una legge del 2006 
rispondono delle truffe e de 
furti subiti dai loro clienti. 
Ad oggi in Giappone si 
contano 80.000 bancomat 
biometrici ma ce ne sono 
altri installati in altre parti 
del mondo quali Asia, 
America Latina e qualcuno 
persino in Africa. 
In Europa questa nuova 
tecnologia non è ancora 
in uso per diversi motivi: 
primo tra tutti, lo scarso 
interesse da parte delle 
banche, che per installare 
bancomat di questo genere 
dovrebbero spendere 
parecchio denaro senza 
avere in cambio nessun 
vantaggio (attualmente 



in Europa se vengono 
compiute frodi o viene 
rubato denaro agli utenti 
sono questi che vengono 
penalizzati, la banca non ne 
è responsabile). 
La Polonia al contrario è 
molto attenta alle nuove 
tecnologie, settore in 
crescita nei paese e in cui 
il Governo ha deciso di 
investire molto, facendo 
di questo il fulcro su cui 
incentrare la crescita 
economica dei prossimi 
anni. 
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YOU TUBE 

BUCATO 



Si dice sempre di chi viene bene in 
video che buca lo schermo, logico, 
per la legge del contrappasso, che 
proprio un sito di video abbia subito 
la sorte di essere stato "bucato". 
E' accaduto il 4 Luglio, la festa 
dell'indipendenza in America, al 
popolare YouTube. Si è trattato di 
una attacco XSS più familiarmente 
noto come Cross Site Scripting. 
Poche righe di codice inserite nei 
commenti dei filmati del cantante 
Justin Bieber che dirottavano gli 
utenti ad un sito hard a pagamento. 
La tecnica XSS sfrutta in realtà 
una vulnerabilità dei siti dinamici 
e consente di carpire informazioni 
sostanzialmente in due modi: 
attraverso il browser dell'utente 
che si connette alla pagina web 
modificata (a sua insaputa) e 
accedendo ai suoi cookie, ovvero 
i micro frammenti di software 
che vengono installati nel Pc 
dell'utente quando visita un sito 
e che consentono, al sito stesso, 
di riconoscerlo in automatico ai 
collegamenti successivi. Oppure 
indirizzando l'utente su una pagina 
web fraudolenta con lo scopo di fargli 
inserire, e quindi rubare, dei dati 
sensibili. 

Probabile che la vulnerabilità 
di YouTube sia stata scoperta 
mandando in esecuzione un semplice 
Javascript. Gli amministratori di 
sistema hanno comunque informato 
che il problema è stato risolto e, 
per il momento aggiungiamo noi, 
YouTube è tornato ad essere sicuro. 




APPLE STORE 

SOTTO ATTACCO 



Il noto Store di Apple h 
subito un attacco senzi 
precedenti. Numerose 
sono state le segnalazi 
di utenti i cui account « 
iTunes sarebbero stati 
violati da hacker che si 
sarebbero appropriati « 
password e informazioi 
riservate relative a cari 
credito e successivamc 
utilizzate per effettuar* 
acquisti di applicazioni 
non autorizzati. L'attacco 
ò partito negli Stati 
Uniti dove gli account 
interessati sono stati 
veramente molti per poi 
diffondersi in Europa, sono 
pervenute segnalazioni 
dall'Inghilterra. Le prime 
notizie su ciò che stava 
accadendo sono stati dei 
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rilasciato nessun commento 
ufficiale e l'unica soluzione 
praticabile per risolvere 
il problema al momento 
sembra essere quella del 
cambio di password. 




iTunes 9 OS 
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Nuova tecnologia 

ANTI-MAlWARE 






Oggi il malware ha la capacità 
di diffondersi a macchia 
d'olio, un'epidemia diffusa 
via Internet può infettare 
milioni di computer in un solo 
istante. Queste epidemie 
possono pregiudicare molte 
infrastrutture informatiche, 
portando al collasso le 
autostrade dell'informazione, 
creando vulnerabilità nei 
sistemi con relative perdite 
di dati e la diffusione di frodi 
informatiche su larga scala. 
Il rilevamento di malware su 
tutti i computer che sono 
stati infettati durante una 
epidemia ha poco o nessun 
effetto. Ciò che occorre 
è un metodo affidabile 
per valutare le dimensioni 
potenziali e l'evoluzione di 
una epidemia, un sistema di 
allarme preventivo, e questo 
è esattamente ciò che la 
nuova tecnologia sviluppata 
da Yury Namestnikov, Nikolay 
Denishchenko e Pavel 
Zelensky di Kaspersky Lab è 
in grado di fare. La tecnologia 
ha ottenuto il brevetto Nr. 
7743419 del US Patent and 
Trademark Office il 22 giugno 
2010. 

La nuova tecnologia 
brevettata permette di 
analizzare le informazioni 
statistiche sulle minacce 
ricevute da una rete di 
monitoraggio globale. La 
rete analizza i download 
di malware, gli attacchi 
hacker e altre simili minacce 
di sicurezza, registrando i 



tempi in cui si verificano, la 
loro origine e la posizione 
geografica ecc.. Le epidemie 
emergenti possono quindi 
essere identificate dal 
numero di incidenti che 
si verificano nel corso di 
un determinato periodo o 
in un determinato luogo. 
Questo metodo rende 
facile individuare l'origine 
di un'epidemia e prevedere 
il suo probabile modello di 
propagazione. 
Le misure di protezione 
possono essere sviluppate 
e implementate dai paesi 
interessati dall'epidemia, 
rallentando cosi 
considerevolmente il tasso 
di proliferazione, fornendo 
un'efficace limitazione 
dei danni, li monitoraggio, 
la rilevazione e l'analisi 
dei dati viene effettuata 
in tempo reale, rendendo 



questa tecnologia brevettata 
particolarmente efficace 
contro le epidemie di 
malware che si diffondono 
rapidamente. 

"Il nuovo sistema offre molti 
vantaggi rispetto a soluzioni 
analoghe. Questa tecnologia 
contiene un sottosistema 
capace di rintracciare la 
fonte della minaccia, un 
modulo che genera misure di 
protezione e un sottosistema 
che simula la diffusione 
dell'epidemia", sottolinea 
Nadia Kashchenko, Chief 
Intellectual Property Counsel 
di Kaspersky Lab. 
Ad oggi Kaspersky Lab ha 
depositato più di 50 domande 
di brevetto negli Stati Uniti, 
Russia, Cina ed Europa: 
tecnologie di sicurezza ideate 
e sviluppate dai tecnici dei 
Laboratori Kaspersky. 
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Arriva il pulsante anHpanico 



Per la sicurezza degli utenti più giovani di Facebook 
ò stato introdotto il "pulsante antipamco". Il noto 
social network ha accettato di inserire nelle proprie 
pagine la nuova applicazione che consentirà di 
segnalare comportamenti, o contenuti ritenuti 
scorretti direttamente all'agenzia governativa 
britannica che si occupa della protezione e del 
controllo dei minori su intemet: la Child Exploitation 
and Online Protection Centro (Ceop). 
Finalmente, gli adolescenti saranno più tutelati, 
sarà sufficiente installare l'applicazione 
direttamente sul proprio profilo per potervi 
accedere. Dopo mesi di discussione, Facebook 
era dapprima recalcitrante, si è giunti a questa 
decisione anche grazie alla condanna all'ergastolo 



di Peter Chapman accusato di aver stuprato ed 
ucciso una studentessa diciassettenne conosciuta 
proprio su Facebook, che ha interessato l'opinione 
pubblica nei giorni scorsi. Il primo social network 
ad installare il "panie button" è stato MySpace lo 
scorso novembre. 

I siti web di social networking sono un fenomeno 
culturale recente. Facebook ha attualmente più 
di 300 milioni di utenti attivi, 150 milioni dei quali 
si collegano almeno una volta al giorno. Ogni 
utente ha in media 130 'amici', ma molte persone, 
soprattutto i giovani, non prestano attenzione alle 
impostazioni di sicurezza, dando cosi la possibilità 
a tutti di leggere le loro informazioni riservate, 
esponendosi cosi a grossi ri 



facebook 



PayPal il più colpita 



PayPal rimane l'obiettivo principale 
dei criminali informatici: a giugno, il 
numero di attacchi rivolti a questo 
sistema di pagamento elettronico e 
aumentato di 20 punti percentuali 
rispetto a maggio. 
Tre paesi - Brasile, Colombia e 
Spagna - risultano tra i primi 5 
distributori di spam. Una nuova 
tendenza ha inoltre interessato 
il malware contenuto nel traffico 
e-mail - il numero di programmi 
maligni che lavorano su piattaforma 
Win32 e in calo, mentre al 
contrario, la quota di HTML risulta 
in crescita. La maggior parte dei 
programmi maligni nel mese di 
giugno inclusi nella Top 10, sono 
pagine HTML scritte in JavaScript. 
Ciò ha fatto si che molti utenti 



fossero reindirizzati a siti web 
contenenti spam, oltre ad una 
serie di diversi exploit. Date qi 
premesse è ragionevole pensa 
che la distribuzione di massa di 
questo tipo di e-mail continue 
prossimi mesi. Le varianti di u 
rootkit più pericolosi attualme. 
in circolazione, Trojan. Win32. 
TDSS, sono state distribuite ai 
via e-mail nel mese di giugno, 
di loro hanno raggiunto il quar 
e settimo posto nella Top 10. 1 
varianti di questo programma 
potrebbero essere trovate in e 
link, anche se sempre sotto fo 
di un allegato compresso in un 
archivio zippato. Per diffonderli, 
i truffatori utilizzano uno dei loro 
temi preferiti - le tasse. 



Rettifica artìcolo 

"Bypassare la richieste 
di serial di un gioco" 

Diamo a Cesare quello 
che è di Cesare. Nel 
numero 204 abbiamo 
pubblicato un ottimo 
articolo intitolato 
"Bypassare la richiesta di 
serial di un gioco" che ha 
ispirato anche la nostra 
copertina. L'articolo 
è stato erroneamente 
attribuito a Massimiliano 
Brasile, peraltro ottimo 
collaboratore di HJ, 
in realtà l'autore è 
l'altrettanto ottimo 
Darkjoker di cui 
pubblichiamo volentieri 
l'indirizzo del sito: http:// 
darkjoker.byethostg.com. 



IJW^iFK'liiSaS 




SINTASBI/MEDID 

Massimiliano Bt30H^T «w. 

4mftoiioneQhttRenouni3l.it ^* 



■ 



CARATTERISTICHE 



i piace smanettare e 
grazie al web abbiamo 
allargato i nostri oriz- 
zonti avendo a dispo- 
sizione enormi quantità 
di dati e informazioni sulle quali 
fare scraping a nostro piacimen- 
to, o perché vogliamo scrivere un 
nostro webbot che faccia concor- 
renza ai google-bot o semplice- 
mente perché amiamo ottimizzare 
il tempo e far fare il lavoro sporco 
ai nostri droni. 

Non possiamo quindi non cono- 
scere le regular expression (per gli 
amici RegEx), ma a meno di averle 
mangiate e metabolizzate da anni, 
avremo sempre bisogno di una gui- 
da di riferimento e anche qualche 
esempio applicativo per ottenere al 
volo il dato che stiamo cercando in 
mezzo a quel mare di dati. 
Il Dr. Edmund Weitz. uno sviluppa- 
tore free-lance tedesco, ha però 
realizzato un tool freeware chiama- 
to RegEx Coach (googla e lo trovi 
come primo risultato) che permette 
di risparmiare molto tempo dato 
che effettua il parsing in tempo 
reale della regular expression che 
inseriamo dandoci subito il risul- 
tato sui dati che gli passiamo da 
analizzare. 



LESTRA 



PER LE 

ESPRESSIONI 



REGOLARI 



SEMPRE 
PRONTA! 



Una premessa dovuta: in base 
al linguaggio di programmazione 
che utilizziamo, l'implementazione 
delle RegEx potrebbe essere o 
meno efficiente e completamen- 
te compliant con quella del Perl. 
RegEx Coach si rivolge soprattutto 
ai programmatori perì e quindi la 
notazione usata sarà quella. 
Se questa limitazione non è un 
problema, installiamo l'eseguibile 
di RegEx Coach e siamo pronti per 
le prove. 

L'interfaccia è minimale con una 
classica struttura a due box: 
uno per l'inserimento (Regular 
expression) e uno per l'output 
(Target string). E' possibile scrivere 
anche nella finestra di output, dal 
momento che possiamo inserire 
direttamente il testo sul quale 
eseguire i nostri test e non appena 
digitiamo qualcosa nella finestra di 
input saranno evidenziati in rosso 
gli errori di sintassi, in giallo le 
corrispondenze (match) identificate 




Interfaccia semplice ma 
efficace direttamente 
utilizzabile per scrivere 
e testare le espressioni 



Appena iniziamo a scrivere 
un'espressione regolare, viene 
direttamente eseguita sulla 
Target string evidenziando in 
giallo i match. 



8 HACKER 



in base alla regular expression che 
abbiamo composto. 
Già con questa funzionalità di 
base, RegEx Coach permette di 
risparmiare molto tempo valutando 
in tutta calma l'analisi che stiamo 
ricercando. Toma però utile anche 
per verificarne la ricorsività. tramite 
le frecce di Scan in basso, nel caso 
le corrispondenze siano più di una. 
E' possibile poi "nascondere" 
al tool i primi caratteri di quanto 
inserito nella Target string, magari 
perché stiamo rifinendo proprio 
una ricerca intema. Se poi, con la 
ricerca svolta andiamo a selezio- 
nare parte della regular expression, 
sarà eseguita tale sotto-regular 
expression sul risultato attualmen- 
te evidenziato in giallo, con una 
sottolineatura in arancione e viene 
indicata anche la posizione del 
"match". 

Nel caso però che la sotto-espres- 
sione non sia valida, la sottoline- 
atura arancione non comparirà 
e il radio-button selection verrà 
disabilitato. 



PANNELLI 



Oltre al pannellino di controllo, 
sono disponibili altri interessanti 
fogli. In Info viene "interpretata" a 
parole la regular expression inse- 
rita, chiaramente in modo molto 
semplificato. 

In Tree possiamo vedere la nostra 
espressione regolare esplosa come 
rami di un albero: in pratica pos- 
siamo vedere come RegEx Coach 
effettua il parsing dell'espressione 
che abbiamo inserito. 
Replace invece, come suggerisce 
il nome, ci permette di elaborare 
l'espressione regolare in grado di 
effettuare sostituzioni all'interno 
della stringa Target, con un mec- 
canismo apparentemente poco 
immediato: nella finestra Target 
selezioniamo con il mouse la parte 
di stringa che vogliamo sostituire, 
mentre nel campo Replacement 
string del foglio Replace inseriamo 
il carattere sostitutivo. Otterremo 
in Replacement result il risultato 
atteso in cui la parte selezionata 
viene sostituita con la stringa in 
Replacement string. 



Se /'espressione 
inserita non è valida, 
nella finestra di 
inserimento saranno 
sottolineati in rosso i 
caratteri in errore. 



Selezionando parte 
dell'espressione 
regolare, sarà 
evidenziata in 
arancione la sotto- 



Se selezioniamo il modif icatore g 
(globale) vedremo tale sostituzione 
applicata su tutta la stringa Target 
e non solo sulla prima occorrenza. 
Gli altri modificatori, mutuati sem- 
pre dal Perl, permettono di discri- 
minare diversi parametri: 
i, case-sensitive e case-insensitive 
m, per gestire più righe come se 
fosse una sola s, per rilevare o 
meno il carattere di nuova riga 
(new line) x, aumenta la leggibilità 
del pattern potendo inserire spazi 
bianchi e commenti. 
Split funziona in modo simile a Re- 
place, con la differenza sostanziale 
che invece di sostituire la stringa 
selezionata, utilizza la stringa inse- 
rita in Split string come delimitatore 
per spezzare la stringa Target. E' 
possibile clonare il comportamen- 
to di Split del Perl utilizzando la 
casella Limit: questo parametro (se 
inserito) indica in quante parti al 
massimo divide- 
re la stringa. In mi 
Divider possiamo 
selezionare il 
simbolo grafico 
da utilizzare per 
visualizzare le 
parti della stringa 
divisa. 
In Step infine è 



possibile percorrere tutti i passi 
compiuti da RegEx Coach per ese- 
guire l'espressione regolare inserita 
e valutare la correttezza dei risultati 
parziali, oltre di quello finale. 



CONCLUSIONI 



RegEx Coach può essere visto 
sia come un coltellino svizzero 
per le espressioni regolari, che 
come un'utilissima palestra che 
possiamo usare per verificare al 
volo un pattern o per esercitarci 
costantemente in questo lin- 
guaggio utile in molti campi. 
Il programma è gratuito e 
occupa davvero poco spazio 
e, personalmente, ha trovato 
subito posto nella mia fedele 
penna usb ;) 
Consigliatissimo! 




Tree visualizza 
graficamente la 
nostra espressione 
regolare lasciandoci 
comprendere come il 
tool la sta analizzando. 



Per testare le sostituzioni 
andiamo in Replace e 
inseriamo il testo da 
sostituire; poi selezioniamo 
nella Target string la parte 
che vogliamo modificare. 
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li utenti Mac con il 
passaggio al system 
X hanno iniziato ad 
apprezzare la solida 
architettura Unix su 
cui sono imperniati Leopard e 
Snow Leopard (ma anche Pan- 
ther, Tiger e gli altri system ispira- 
ti ai felini). In questo brevissimo 
articolo vedremo di conoscere ed 
apprezzare i principali comandi 
Unix. 

Unix ha centinaia di coman- 
di standard. La sua filosofia è 
di avere tanti piccoli comandi 
ognuno dei quali ideato per fare 
esattamente una cosa: quella giu- 
sta. Ad esempio, un'applicazione 
Macintosh può essere chiamata 
Super File Amico. La nostra ap- 
plicazione immaginaria può fare 
qualsiasi cosa con qualsiasi tipo 
di file (una specie di genio della 
lampada in ambito informatico): 
può mostrare il contenuto di un 
file, duplicare un file, rinominare 
un file, cancellare un file, e per- 
sino leggere un file. In Unix, tutte 
queste funzioni sono possibili 
attraverso l'uso di programmi 
distinti: cp, mv, rm, e cat. Tutti 
questi piccoli comandi posson 
essere combinati per realizzare 
qualsiasi risultato desiderato, 
perché la piccola dotazione di 
programmi specializzati fornisce 
un incredibile livello di flessibilità. 



Mini guida 

all'universo 

cdmpdsitd dei 

CDMANDi Unix 

su piattaforma 

Mac. 





LA SINTASSI DEI 
COMANDI UNIX 



La forma base di un comando 
Unix è 

command-name options ar- 
guments 

Il command-name è il nome del 
comando Unix, come ad esempio 
Is o mv. Options (chiamate anche 
Switches o Flag) sono le opzioni 
che è possibile specificare per 
modificare il comportamento 
predefinito del comando e di so- 



lito sono precedute da un segno 
meno (-). Arguments sono strin- 
ghe (spesso, ma non sempre, i 
nomi dei file) che forniscono il 
comando di ingresso e possono 
anche specificare la destinazione 
di uscita. Il comando per cancel- 
lare la directory chiamata "My- 
Folder", ad esempio potrebbe 
leggersi: 

ria -R myfolder 

dove "rm" è il comando (o 
mamd-name) di soppressione del 
file, "-R" è l'opzione (option) che 
specifica la ricorsione (trasver- 



sale e, nel caso del comando 
la rimozione di file e gerarchia di 
directory all'interno della directory 
specificata), e "MyFolder" è l'ar- 
gomento (argument), e in questo 
caso, anche il nome del file. 
I comandi Unix sono la CLI equi- 
valente delle applicazioni Mac OS 
X, e del menu di selezione. Anche 
se i file di comando Unix posso- 
no essere posizionati in qualsiasi 



la shed al fine di eseguire il 
comando. È possibile navigare 
in queste directory attraverso il 
Terminale utilizzando il comando 
Is. Si può provare a digitare Is / bin 
per visualizzare i file di comando 
elencati nella directory / bin. In 
questo esempio, "Is" (elenco di 
directory contenuti) è il comando. 
Non ci sono options in questo 
caso, e la "/ bin" è l'argomento 
(argument), che rappresenta anco- 



punto del file system in cui si ha (argument), che rapprese 

il permesso di accesso, tradizio- ra una volta il nome di ur 

nalmente, si trovano in una delle specifico, una directory), 
directory più consuete come / bin, 

/ usr / bin, / sbin, o / usr / sbin. Un tradizionale file systei 

Altre directory sono specificate distingue tra maiuscole € 

dalla variabile di ambiente PATH. scole nella denominazior 



Un tradizionale file system Unix 
distingue tra maiuscole e minu- 
scole nella denominazione di file 



(Ad esempio occorre digitare echo e directory, quindi il file chiamato 



S PATH nel Terminale per cerca- 
re automaticamente le directory, 
separate da due punti, che con- 
tengono i comandi.) Se il coman- 
do non si trova in una di queste 
directory, la sua ubicazione, deve 
essere pienamente specificata 



INSTALL e diverso dal file denomi- 
nato instali, che a sua volta è di- 
verso dal file chiamato Instali. Mac 
OS risolve il problema facendo in 
modo che i nomi di file non siano 
case-sensitive nella GUI, ma caso 
per caso, la sensibilità è ancora 



la regola quando si sta lavorando 
nella shell. 



MAN PAGE 



Una delle cose migliori della mag- 
gior parte dei componenti di Unix 
è la loro provenienza, con una do- 
cumentazione completa, costruita 
su misura per il sistema. Mac OS 
X è un ottimo esempio di questa 
logica. La documentazione Unix è 
disponibile sotto forma di pagine 
di manuale, meglio conosciute 
come man page. In Unix, ogni pro- 
gramma ha un corrispondente man 
page. Se c'è il bisogno concreto 
di imparare di più su un comando 
Unix, sulla sua funzionalità e/o la 
sua sintassi, è possibile trovare 
tutto questo nella corrispondente 
man page del programma. In Mac 
OS X, è possibile caricare la man 
page di un programma semplice- 
mente utilizzando la sintassi: 



man nameof comma nd 



Mac OSX Snow Leopard 




Ad esempio, se si desidera ot- 
tenere maggiori informazioni sul 
comando chmod, digitare la se- 
guente richiesta nella finestra del 



un chmod 

Mac OS X visualizza le sue man 
page utilizzando il programma 
less, un semplice programma di 
visualizzazione del testo. Quando 
si preme Return dopo aver digita- 
to una richiesta man, lo schermo 
del Terminale visualizza il testo 
corrispondente al comando in 
questione. Dato che il testo è in 
programma less, si utilizza la barra 
spaziatrice per far progredire il 
testo e si digita q per chiudere il 
programma di visualizzazione. Se 
avete seguito l'esempio e aper- 
to la pagina man per il comando 
chmod. si può vedere che ci sono 
pagine di informazioni, molte op- 
zioni avanzate, e anche esempi di 
cose che si possono fare. 
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Decifrare le man pages di Unix 
può essere un po' scoraggianti 
Esse possono essere in forma 
molto succinta, fino al punto di 
essere prive di senso, e appaiono 
complicate al punto di poterle 
considerare inutili. Tuttavia non 
occorre davvero preoccuparsi, la 
cosa importante da capire è che 
tutte le pagine man sono basate 
su semplici sintassi del coman- 
do Unix che abbiamo appena 
discusso. Mantenere la sintassi 
command-name options argu- 
ments in mente consente di utiliz- 
zare esclusivamente i comandi di 
lettura su di loro nelle loro pagine 
man. 

La buona notizia è che molte 
man pages possono essere lette 
e comprese, e questo è un buon 
punto di partenza per decifrar- 
ne altre. Con un po' di pratica si 
potranno leggere le informazioni 
delle man page senza grandi 
difficoltà. Si tratta, come in tutte 
le cose, solo di iniziare. 
Se non si conosce l'esatto nome 
del comando, ma si sa cosa si 
sta cercando di fare, è possibile 
fare una ricerca per la man page 
con parole chiave. Se si desidera 
provare a montare un volume 
afp e non si è a conoscenza del 
programma mount afp il, lo si 
può provare digitando man-k afp 
per avviare una ricerca con parola 
chiave delle pagine man per il 
termine "afp". 

C'è da essere sicuri che, l'ultimo 
è mount.afp . Alcune persone 
preferiscono usare il comando 
apropos al posto di man-k, ma 
entrambi realizzano il medesimo 
obiettivo. 



CANCELLARE UN 
FILE OSTINATO 



A volte, il Finder non è in grado 
di spostare o eliminare file che si 
trovano nel cestino. 

[ "L'opera- 
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ne non può 

,ere comple- 
tata perché non 
si dispone di 
privilegi suffi- 
cienti per alcuni 
degli elementi" 
appare spesso. 
In questo caso, 
ci sono due 
opzioni della 
riga di comando 
che è possi- 
bile utilizzare 
per rimuovere 
permanente- 
mente i file. Il 
primo modo è 
quello di usare 
rm. Utilizzare 
la seguente 
procedura per 
provare entram- 
be le opzioni: 
Come prima 
cosa, provare la 
semplice elimi- 
nazione dei file, usando sudo per 
avere privilegi di root utilizzati per 
l'operazione. 

1 . Digitare sudo rm-f nome file 
(o sudo rm-rf nome cartella se 
si tratta di una cartella), sudo 
quindi richiede di usare la propria 
password. 

2. Digitare la password, e al 
prompt si deve premere return. 
Se non vi è alcun errore, il file è 
stato rimosso. 

Se la procedura fallisce, è a 
causa di una "flag" speciale del 
file, che è stata impostata sul file 
e i marchi per il sistema come 
bloccata o protetta. 
In primo luogo, si rimuove la flag, 
e poi si rimuove il file. 

1 . Digitare sudo chflags-R nouchg 
nome del file. Dopo aver digitato 
la propria password, al 
premere return. 

2. Ora digitare sudo rm nome file 



per rimuovere il file. Se si vuole 
semplicemente posizionare il file 
nel cestino e cancellarlo in un 
secondo momento, è ora possibi- 
le utilizzare il Finder per mettere il 
file nel cestino. 
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e abbiamo l'intenzione di 
creare siti web dinamici, 
potremmo trovarci di fronte 
alla necessità di inviare 
mail per comunicare dei dati, ad 
npio co nferm are alcune scelti 
avig £ore, informare su n 
o mettere in colleg 
m Humnaum.itnri 

razione 
iita plfl utilizzate 
lalazioru. richieste 
ii. ordini e altro all'n 
'eb: la creazione di un 
saggn^di posta. 
A questo scopo PHP mette a 
disposizione la funzione mail(), in 
grado di inviare messaggi e-mail con 
codifica MIME. La funzione mail() 
permette quindi rinvio di messaggi 



IDNE 
IO DI 
RDNI 



La sintassi di mail è: 

$esito ■ mail ($destinatario. 
Soggetto, $messaggio, $altro) 



Volete organizzare una 
newsletter o implementare 
informazioni da inviare 
via posta dal vostro sito 



INTERNET? BASTA SFRUTTARE LA 



FUNZIONE MAIL DI PHP CON POCHE 



RIGHE DI PROGRAMMAZIONE. 



Soggetto è la stringa che 
rappresenta l'oggetto del messaggio. 

* Smesssggio e il corpo del 
messaggio. 

^^Saltro è una stringa (in realtà se 
ne possono specificare diverse) che 
rappresenta dei campi addizionali in 
un messaggio di posta elettronica 
compatibili con il protocollo SMTP. 

• in Sesito otteniamo il risultato della 
aggio, che può 



ESEMPI 




VED 

SEMPLI 



ma i 1 . pop 

• ! /usr/bin/php -q 

$esito » mailC [nohide] 
inf oSdominiopos t a . coi [ / 
nohide]", "Articolo di 

messaggio 



echo "Ho mandato 

l'email! ! !\n"; 

• Isa 

echo "llon sono riuscito a 

mandare l'email! !\n"; 



DESTINATARI MULTIPLI 



sufficiente inserire più indirizzi 
separati da una virgola per spedire la 
solita mail a più destinatari, tuttavia 
la procedura è sconsigliabile perché 
tutti potrebbero vedere gli indirizzi 
internet a cui spedite la mail. 
Per questo motivo suggeriamo 
di inserire gli indirizzi in un array, 
oppure in un database e di inserire 
la funzione mail dentro un ciclo while 
o for, variando ogni volta la variabile 
del destinatario. 
In pratica il funzionamento che 
adottano le newsletter. 
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Dai numerosi sondaggi e 
ricerche che compaiono 
su internet si desume che 
si sta andando sempre 
più verso l'integrazione 
di servizi e sistemi ogni giorno più 
complessi. Anche le piccole aziende 
si stanno dotando di server aziendali 
dove vengono installate applicazioni 
e servizi per i clienti e i propri 
dipendenti. Spesso però si pensa solo 
all'implementazione e non al controllo 
degli stessi server che fanno il core 
bussiness dell'azienda. Le capacità 
tecniche per tare le integrazioni 
ci sono ma quello che manca a 
mio avviso è la cultura dirigenziale 
per poter proporre o pensare di 
implementare oltre ai servizi anche 
un buon monitoraggio degli stessi. 
Un altro problema che riscontro è la 
paura da parte dei commerciali delle 
diverse aziende d'informatica, con cui 
sono venuto a contatto, di proporre o 
vendere soluzioni basate su prodotti 
OpenSource perchè non c'è dietro una 
società o struttura tecnica di supporto 
al prodotto. Le aziende si rivolgono 
alle società che vendono software 
senza pensare che non esistono 
solo dei software a pagamento che 
si occupano di fare monitoraggio dei 
servizi, ma ne esistono di ottimi anche 
Open-Source. In questa trattazione 
parleremo di un monitoraggio 



RETI 

Alla scoperta di un ottimo 
strumento open source di 
monitoraggio dei servizi di 
una intranet. 



attivo/passivo e vedremo come 
implementarlo usando Nagtos ( http:// 
www.nagios.org ), un programma 
OpenSource per monitorare servizi e 
server in una realtà distribuita. 



PHE CDSA 
E NAGIDS? 



Nagios® è un' applicazione per 
monitorare sistemi e reti, il programma 
controlla host e servizi che sono stati 
specificati nel file di configurazione 
e manda un alert quando questi 
non sono raggiungibili oppure non 
rispondono. Descritto in questo 
modo potrebbe sembrare un 
programa banale, ma non lo è. se 
decidete di continuare con la lettura 
vi accorgerete di quante cose si 
possono fare con Nagios e di come le 
fa bene, purtroppo lo spazio è tiranno 
e non avrò la possibilità di descrivere 
bene tutto il prodotto. 



Nagios è stato progettato per lavorare 
con il sistema Operativo Linux, ma 
funziona bene anche con altri sistemi 
operativi like unix. Tra i numerosi 
servizi che possono essere controllati 
da Nagios® ci sono: 
Monitoring di servizi di network 
(SMTP. P0P3. HTTP. NNTP, etc.) 
Monitoring di risorse dei server (carico 
della CPU, uso dei dischi, esistenza di 
un processo, etc.) 
Monitoring di raggiungibilità(PING) 
La semplicità dei plugin, inoltre, 
permette di sviluppare facilmente dei 
nuovi ceck per i propri servizi. Tutti 
i controlli, anche quelli implementati 
ex novo come per quelli di defauft. 
possono essere effettuati in parallelo. 
Una delle caratteristiche peculiari di 
Nagios® è la possibilità di definire 
la "network host hierarchy" usando 
una parentela tra gli host, "parent". 
In questo modo si disegna la rete e si 
può fare una diagnosi veloce in caso 
di problemi distinguendo tra hosts 
che sono down e quelli che sono 
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irraggiungibili. Le notifiche, 
quando un host ha un 
problema oppure è stato 
risolto, possono avvenire 
in diversi modi: via email, 
via pager, o qualsiasi altro 
metodo definito dall'utente. 
E' prevista inoltre la 
possibilità di far eseguire degli script 
di risposta all'evento "down" come 
all'evento "up '. La possibilità di far 
generare delle risposte automatiche 
al programma al succedersi di certi 
eventi rende il sistema oltre che di 
monitoraggio un sistema di risposta 
proattiva limitando il disservizio verso 
l'utente finale. 



REQUIREMENTS 



L'unica cosa che serve per fa girare 
Nagios è una macchina che abbia 
come sistema operativo Linux (o una 
variante UNIX ) e un compilatore C. 
La configurazione del protocollo TCP/ 
IP è necessaria per poter controllare i 
servizi di rete e i server remoti. Non è 
necessano usare le CGI che fanno parte 
del pacchetto Nagios. ma se si vogliono 
implementare bisogna configurare il 
web server per l'esecuzione delle CGI. 
Noi in questa trattazione prenderemo in 
considerazione il web server Apache. 
Un altro pacchetto non necessario 
ma utile per la visualizzazione grafica 
è la "Thomas Boutell's" libreria, la 
gd version 1 .6.3 o superiore. Questa 
libreria, utilizzata soprattutto insieme 
ad Apache, serve per la creazione 
dinamica di immagini in tonnato PNG 
e JPEG. Nagios la usa per creare le 
mappe ed i grafici di raggiungibilità dei 
server. 



NSTALLAZIDNE 



A differenza dei programmi a cui siamo 
abituati normalmente nel mondo 
OpenSource compilare e installare 
Nagios non basta per poi vederlo al 
lavoro eseguendolo. Esistono una serie 
di configurazioni che devono essere 
effettuate prima di avere una console di 




monitoraggio funzionante e funzionale. 
Partiremo da un server Linux 
con Sistema operativo RedHat e 
assumeremo che Nagios verrà 
installato nella directory /usr/local/ 
nagios e che sia configurato Apache 
per usare le CGI, l'installazione che 
faremo si aspetterà che le CGI di nagios 
siano accessibili all'uri htt//localhost/ 
nagios/cgi-bin/. Se cosi non fosse si 
può usare l'opzione — with-cgiurl con lo 
script configure per modificare il path 
delle CGI. 

La prima cosa da fare è scaricare 
il programma dal sito ufficiale 
insieme ai plugin, poi seguendo la 
documentazione si può passare 
all'installazione ed alla configurazione 
dei servizi da monitorare. 
Vediamolo passo passo: 
Una volta scaricato il pacchetto 
va scompattato in una directory 
temporanea con il consueto comando 

# tar cvfz nagios. l.x.tgz 

entrare nella directory con il comando 
ed nagios.1 .x/ e leggere il README 
e INSTALL Prima di proseguire con 
l'installazione creiamo l'utente con 
cui faremo girare il programma con i 
comandi che seguono: 

# adduser nagios 

poi eseguiamo lo script di 
configurazione con i parametri 
necessari al nostro ambiente di lavoro: 

# ../configuro --profix=PREFIX 
--with-cgiurl«CGIURL — with- 
ntOTurl-HTTroRL \ 
--with-nagios-user=SOMEUSER 

- -with-nagiOB-grp=SOMEGROrjP 

a) Cambiare PREFIX con la directory 
dove dovrà essere installato Nagios, di 
Default viene usata la directory Vusr/ 
local/nagios' 



b) Cambiare CGIURL con l'URL che 
deve essere usata per raggiungere 
le CGI. Non mettere lo slash finale. Il 
default è 7nagios/cgi-bin' 

e) Cambiare HTMURL con l'URL che 
deve essere usata per accedere alle 
pagine di documentazione html ed alla 
pagina principale di Nagios. Il default è 
/nagios' 

d) Cambiare SOMEUSERcon 
il nome dell'utente, esistente sul 
proprio sistema, da essegnare come 
proprietario dei file e delle directory di 
Nagios. Il default è "nagios' 

e) Cambiare SOMEGROUP con il 
nome del gruppo, esistente sul proprio 
sistema, da associare a tutti i file come 
proprietario di essi. Il default è nagios' 
ora compiliamo e installiamo il 
programma: 

# make ali 

4 make instali 

# make instai 1-confìg 

per ultimo, se la compilazione è andata 
a buon fine, installiamo lo script di 
inizializzazione che va a finire nella 
directory /etc/init.d: 

# make install-mit 

io script va poi editato per effettuare le 
modifiche relative al nostro ambiente 
di lavoro, se abbiamo lasciato tutte le 
configurazioni standard queste ultime 
non servono, va solo personalizzata 
la parte relativa la nostro Sistema 
Operativo come la variabile PATH ecc. 
Finita l'installazione vediamo che 
cosa abbiamo nelle sotto directory del 
programma che si trova nella directory / 
usr/tocal/nagios: 

birv* Nagios programma principale 
etc/ Directory dove troviamo i file di 
configurazione installati con il comando 
make install-config 
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sbin/ CGI usate da Nagios 
share/ file HTML (per l'interfaccia web 
e la documentazione ufficiale) 
var/ directory vuota per i tog file 



INSTALLAZIONE DEI 
PLUGINS 



I plugins che si possono usare con 
Nagios sono tanti, questi possono 
essere scaricati dal sito ufficiale che 
è http://nagiosplug.sourceforge.net 
Dopo aver fatto il download e aver 
scompattato il file bisogna entrare 
nella directory e lanciare il comando 
configure, seguito dal comando di 
compilazione Make. 

# . / configuro 

# make 

# make instali 



SETTAGGIO 
DI APACHE 






Dopo aver installato il programma 
anche prima di aver configurato i 
server da monitorare, provvederemo 
alla configurazione di Apache per 
poter accedere via browser alla 
console di Nagios ed a tutta la 
documentazione. Bisogna aggiungere 
un alias e aggiungere la directory 
degli script CGI. La configurazione 
per Nagios si può includere in un file 
che verrà caricato dal file principale di 
Apache con la direttiva Include. 
La modifica da apportare al file di 
configurazione di Apache dovrebbe 
assomigliare a quella riportata sotto: 

ScriptAlias /nagios /cgi-bin/ 
/usr/ locai /nagios /sbin/ 
<Directory "/usr /locai/ 
nagios / sbin/ " > 

AllowOverride AuthConftg 

Options ExecCGl 

Order allow, deny 

Allow f rom ali 
< /Directory > 

Alias /nagios/ /usr/ locai/ 
nagios / share / 
<Directory "/usr/local/ 
nagios/ share" > 

Options None 



AllowOverride AuthConfig 
Order allow, deny 
Allow front ali 
</Directory> 

La parte di ScriptAlias deve precedere 
la parte Alias altrimenti Apache fa il 
parsing in maniera diversa e non trova 
le CGI. 

Dopo aver modificato il file di 
configurazione di Apache per vedere 
gli effetti della modifca bisogna 
riawiare il servizio web con il consueto 
comando: 

« /etc/init.d/httpd restart 

che è uguale al comando : 

# service httpd restart 



METODI PER 
LANCIARE NAGIOS 



Nagios può essere lanciato in diversi 
modi. I metodi classici sono quattro: 

Manualmente, come processo in 
foreground (di solito per i test iniziali) 

/usr / locai /nagios/bin/nagios 
<main config_ftle> 

Manualmente, come processo in 

background. 

/usr/ locai /nagios/bin/nagios 

<main_config file> & 

Manualmente, come processo 
demone 

/usr/ locai /nagios/bin/nagios 
-d <main_config_file 

Automaticamente al boot. 
Se abbiamo lanciato dopo 
l'installazione del programma il 
comando 
make install-init 

allora abbiamo installato anche lo 
script per l'avvio automatico al boot. 

A questo punto se il nostro processo 
è in esecuzione puntando il browser 
all'indirizzo http://localhost/nagios 
si può accedere all'interfaccia web 
principale di Nagios che oltre alla 



documentazione presente nella 
directory /usr/local/nagios/share, che 
è anch'essa consultabile via web, 
permette di avere un quadro completo 
della rete monitorata. 
Una precauzione da prendere se si 
usa Nagios per monitorare servizi 
direttamente su Internet è l'accesso 
alle pagine di visualizzazione di 
Nagios tramite password, questo 
prevede di configurare Apache per 
far accedere gli utenti tramite login e 
password. Come abbiamo accennato 
sopra bisogna ora pensare alle altre 
configurazioni e definire i server ed i 
servizi da tenere sotto controllo. 



CONFIGURAZIONE 

E DISEGNO DELLA 

MAPPA DI RETE 



La prima cosa da fare è avere un 
elenco aggiornato dei server e dei 
servizi su ogni singolo server. Questo 
elenco ci servirà per costruire il nostro 
file di configurazione da dare in pasto 
al programma che farà i controlli. 
Il file principale per configurare Nagios 
è: 

/usr/local/nagios/etc/nagios. 

cfg 

il file è commentato ed 

autoesplicativo, inoltre 

ali ' interno si trova 

l'elenco degli altri file di 

configurazione che sono: 

/usr/local/nagios/etc/hosts . 

cfg 

/usr /locai /nagios /et e/ 

checkcommands . cfg 

/usr /locai /nagios /etc/ 

contact s. cfg 

/usr/ locai /nagios /etc/ 

cont ac tgroups .cfg 

/usr /locai /nagios /etc/ 

hostgroups . cfg 

/usr/ locai /nagios /etc/ 

services. cfg 

/usr /locai /nagios /etc/ 

t imeperiods . cf g 

/usr/ locai /nagios /etc/ 

escalat ions . cfg 

/usr /locai /nagios /etc/ 

mi sccomnands . cfg 
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ogni file è 
commentato e 
seguendo gli esempi 
si possono modificare 
per raggiungere il 
nostro scopo. 
Questo ci permette di 
rendere operativo il 
programma velocemente. 



_ 



VERIFICA DEL FILE 
DI CONFIGURAZIONE 



Dopo aver finito la parte di 
configurazione bisogna provare e 
testare se tutto funziona, si può lanciare 
Nagios con il flag -v per vedere se i file 
di configurazione stanno a posto: 

/usr /locai. / nagios /bin/nagios 
-v <config _file> 

configgile è il file dove abbiamo fatto le 

configurazioni, Nagios venfica se è tutto 

ok senza lanciare il monitoraggio. 

Verifica che tutti i contatti siano membn 

di almeno un contact group. 

Verifica che tutti i contatti specificati in 

ogni contact group siano validi. 

Verifica che tutti gli hosts siano membri 

di almeno un host group. 

Verifica che tutti gli hosts specificati in 

ogni host group siano validi. 

Verifica che tutti gli hosts abbiano 

almeno un servizio associato da 

monitorare. 

Verifica che tutti i comandi usati per 

controllare gli host ed i servizi siano 

validi. 

Verifica che tutti i comandi usati in 

service and host event handlers siano 

validi. 

Verifica che tutti i comandi usati in 

contact service and host notifications 

siano validi. 

Verifica che tutti i periodi temporali 

specificati per services, hosts, e 

contact siano validi. 

Verifica che tutti i periodi temporali 

specificati per services siano validi. 

Se i file di configurazione sono giusti 

allora si può proseguire con il nostro 

monitoraggio e vedere come si 

comporta Nagios, se invece ci viene 



segnalata un'errata configurazione si 
può modificare il file e riprovare. 



USD DI NAGIDS 
E REPDRT 



Dopo aver completato la nostra 
configurazione e settaggio della 
console degli eventi, si ha a 
disposizione uno strumento di 
prevenzione e di monitoraggio che 
aiuta il normale lavoro del sistemista. 
Inoltre se diamo un'occhiata nella parte 
sinistra del browser troviamo oltre al 
link alle diverse pagine di monitoraggio 
attivo i link ai report. Poiché Nagios 
colleziona gli eventi e li registra in un 
file questi si possono aggregare per 
fornire statistiche e grafici in tempo 
reale di quello che è successo nella 
nostra rete al cliente o al responsabile 
del servizio. Se questo non serve per 
avere sotto controllo il lavoro da fare 
può servire per cercare di capire se si 
può migliorare il tempo di risposta ai 
problemi oppure se si può intervenire 
in altri modi e far si che il disservizio sia 
minimo nei confronti degli utilizzatori 
finali. 

Nonostante io usi Nagios da diversi 
anni, ho iniziato ad installarlo quando si 
chiamava "Netsaint", e ritenendolo un 
ottimo prodotto, riporto sotto un elenco 
di software che fanno monitoring o si 
occupano di fornire un ottimo aiuto in 
un ambiente distribuito, a qualcuno può 
far comodo avere un elenco a portata di 
mano. Queste utility si possono trovare 
facilmente su Internet, per alcuni riporto 
direttamente il link, gli altri si possono 
reperire utilizzando i motori di ricerca 
specializzati in software. 

Utility di Monitoring tratte direttamente 
dalla documentazione di Nagios 



Angel Network Monitor http^/www. 

paganini.net/angel/ 

Autostatus 

http://wvtfw.angio.net/consult/ 

autostatus/ 

HiWAyS 

http://www.hiways.org/ 

MARS 

http://www.altara.org/mars.html 

Mon 

http://www.kemel.org/software/mon/ 

Netup (French) 

NocMonitor 

NodeWatch 

Penemo 

http://www.penemo.org/ 

PIKT 

http://pikt.org/ 

RITW 

Scotty 

Spong 

Sysmon 



Bibliografia e link 

Sito principale di Nagios http^/www. 

nagios.org 

Download dei plugins http.V/nagìosplug. 

sourceforge.net 
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art e dintorni 



uesta nuova sezione di Security Lab (il nostro inserto dedicato in modo mirato ai temi della sicurezza, lan< 
a partire da questo numero) è dedicata ai maJware, exploit e attacchi che si sono guadi 
cronache nell'ultimo mese. 




E#H 



Downloader.JS.Pegel.b 

Una menzione di mento spetta al Trojan Downloader.JS.Pegel.b. Questo scnpt 
downtoader. progettato per infettare i siti web. si è rivelato tra i più diffusi dopo un periodo 
di relativa inattività. Quando un utente visita una pagina infetta. Pegel li reindirizza a un 
sito controllato da un cnminale informatico, che a sua volta scarica programmi maligni nel 
computer della vittima. Pegel.b fa uso di exploit PDF e Java CVE -201 0-0886. 




Exploit.JS.Pdfka 

Il nlascio di ogni nuovo aggiornamento di Adobe è sempre accompagnato da diverse 
varianti di questo exploit. Nel solo mese di giugno, tre varianti di Exploit.JS.Pdfka 
sono entrate nella classifica dei malware Internet rispettivamente al sesto, ottavo e 
quattordicesimo posto. 






Agent.bab 



E' stato uno dei malware più diffusi dell'ultimo periodo. Sfrutta la vulnerabilità di Windows 
CVE-201 0-0806. rilevata a marzo di quest'anno, per scaricare diversi programmi dannosi 
nei computer degli utenti. A giugno il numero di singoli tentativi di scaricare questo malware 
da siti internet ha superato le 340.000 unità. 



P2P-Worm.Palevo 

Per la maggior parte dei criminali informatici, i dati riservati sono fonte di grandi guadagni: 
una nuova variante del popolare P2P-Worm.Patevo cerca appunto di rubare dati sens 
penetrando attraverso una finestra del browser degli utenti Questo worm si propaga 

jndo programmi Peer-to-peer di file shanng come BearShare. iMesh. Shareaza e 
eMule. Esegue più copie di se stesso nelle cartelle utilizzate per memorizzare i file che sono 
comunemente scaricati e caricati, dando nomi accattivanti ai file infetti nella speranza che 
possano attirare l'attenzKXie di potenziali vittime. Altri mezzi con cui si propaga P2P-Worm. 
Win32.Palevo.fuc comprendono la riproduzione di più copie di cartelle e risorse di rete. 

« di link via instant messenger e il Trojan.Win32.Autorun che può infettare qualsiasi tipo 
di dispositivo rimovibile con cui entra in contatto. 





AdWare.Win32.FunWeb.ds 

Raccoglie dati sulle richieste di ricerca degli utenti e. spesso, questi dati vengono poi 
utilizzati da un sistema per visualizzare dei banner che frequentemente compaiono durante 
la navigazione on-line. 
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"Cerbero, fiera 
crudele e diversa,\ 
con tre gole 
caninamente 
latra\ sovra la 
gente che quivi 
è sommersaA Li 
occhi ha vermigli, 
la barba unta e 
atra\ e 1 ventre 
largo, e unghiate 
le mani;\ graffia li 
spirti ed iscoia ed 
isquatra." 
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uesto passo, tratto 
dal quarto canto delia 
Divina Commedia di 
Dante, descrive Cerbero. 
y in inglese Kerberos, 
il mitico cane a tre teste pena dei 
golosi. 

Nel campo dell'informatica, qi 
bestia mitologica è stata utilizzata 
come nome e simbolo di un noto 
protocollo per l'autenticazione 
dei servizi di rete, il Kerberos, 
contraddistinto da un'archite 
definita three-sided. Questo termine 
significa che il protocollo utilizza tre 
componenti per raggiungere il suo 
obiettivo di spedizione affidabile 
dei dati attraverso una rete: uno 
di essi è il client, che 
l'utente, il secondo è il 
quale si richiede l'accesso ed il terzo 
è un contenitore delle informazioni 
nguardanti le chiavi d'accesso. 
Per comprendere meglio come 
funziona il sistema, dobbiamo 
tornare indietro negli anni '80, 
quando Kerberos venne creato i 
laboratori del Massachusetts Institute 
of Technology, probabilmente 
il più famoso centro di ricerca 
tecnologica del mondo. A quei 
tempi l'autenticazione degli utenti, 
necessaria per fornire servizi di rete, 



avveniva attraverso la richiesta e 
l'invio di usemame e password, ed il 
suo trasporto era "in chiaro". Questo 
significa che era possibile, e per 
alcuni servizi lo è ancora, carpire 
password spedite semplicemente 
"ascoltando'' k> scambio di dati tra 



ed utente. 

-. alcuni servizi, come 
telnet, le password sono spedite 
ancora senza nessun algoritmo di 
crittografia, rendendo il loro uso 
altamente sconsigliato in ambiti 

i quali la sicurezza è necessaria. 

>perazione di ascolto di un traffico 
di rete si chiama packet sniffing, ed è 
talmente facile da sfruttare che anche 
una persona poco esperta e male 
intenzionata potrebbe fame uso. 



CHIAVI DI 
CRITTDGRAFIA 

Una soluzione molto util' 
per risolvere il problema è l'uso 
di protocolli sicuri che sfruttino 
scambio di chiavi di crittografia e 
spediscano i dati in maniera ~ : 
come per esempio fa ssh. 
Nei laboratori del MIT si studiò un 
sistema in grado di permettere lo 
scambio sicuro delle informazioni 



di autenticazione per vanificare 
eventuali tentativi di ascolto del 
traffico, allo scopo di ottenere dati di 



esso validi. Per funzionare, come 
uamo già accennato, Kerberos 
utilizza tre componenti, client, server 
e KDC (Key Distribution Center). 
All'atto dell'autenticazione è richiesto 
un Ticket, una sorta di biglietto 
d'entrata che permette l'accesso 
al servizio per una sessione ad un 
determinato utente. Quando un 
utente cerca di connettersi ad una 
workstation che sfrutta una rete 
autenticata con Kerberos, viene 
inviato un messaggio al KDC che 
richiede un TGT (Ticket Granting 
Ticket), un biglietto che permette 
di ottenere altri ticket senza doverli 
richiedere nuovamente al KDC. 
Il messaggio inviato contiene il 
Principal, che è un utente o un 
~ rizio che può essere autenticato 

lite Kerberos ed ha l'identificativo 
i questa forma: 

Dot [ / ins t ance ] 0REALM 

Realm è la definizione nella 
ninologia di Kerberos di una rete 
ata su questo sistema. Esso può 
are costituito da più KDC e da un 
sme arbitrario di client e server. 



Il Kdc controlla l'esistenza del principal 
nel suo database, e, nel caso riesca a 
trovarlo, prepara un Tgt cifrandolo con 
la chiave dell'utente ed inviandolo a chi 
ne ha fatto richiesta. A questo punto il 
client decifra il Tgt utilizzando la chiave 
dell'utente, ricavata dalla password 
inserita, e la memorizza per un tempo 
variabile e limitato, durante il quale 
l'utente non ha solitamente bisogno di 
reinserire la sua password. 
Quando l'utente ha bisogno di 
autenticarsi per un servizio, il client 
richiede al Ticket Granting Service 
il ticket utilizzando il biglietto Tgt. 
Spesso il Kdc ed il Tgs coincidono 
e si trovano sulla stessa macchina 
fisica, per risparmiare sui costi di 
gestione. Abbiamo accennato al fatto 
che i Ticket Granting Ticket hanno una 
durata, entro la quale l'utente non deve 
reinserire nuovamente la password. 

Questa carattenstica introduce 
un problema di sicurezza non 
banale: se il computer client ed il 
server Kdc non sono sincronizzati, 
un utente malizioso potrebbe 
usare ticket scaduti per accedere 
a servizi a lui negati. Per questo 
motivo, quando si configura una 
rete basata su Kerberos, dobbiamo 
preoccuparci di avere tutte le 
macchine sincronizzate, con uno 
scarto massimo standard di cinque 
minuti, che eventualmente si può 
rimodellare secondo le nostre 
esigenze. Per farlo, possiamo utilizzare 
il Network Time Protocol, che fornisce 
una sincronizzazione automatica 
grazie ad un demone chiamato ntpd. 

Esso è contenuto nel pacchetto 
ntp, ed è disponibile sia sui ed delle 
maggiori distribuzioni che su internet 
in vari indirizzi, tra i quali rpmfind.net. 
Per installarlo su una Debian si usa il 
comando: 

# apt-get instali ntp 

Mentre per le distribuzioni basate 
su rpm bisogna prima scaricare il 
pacchetto e poi installarlo con il solito: 

# rpm -ivh ntp- versione. rpm 



Possiamo configurarlo sia agendo sul 
file /etc/ntp.conf che con il programma 
disponibile in Red Hat chiamato 

# redhat-config-date 

7ln entrambi i casi dovremo 
specificare un server di riferimento con 
il quale sincronizzare il nostro pc, ed 
una lista di quelli pubblici può essere 
trovata all'indirizzo: 
www.eecis.udel.edu/-mills/ntp/ 
servers.html. 

Il file di configurazione /etc/ntp.conf è 
mostrato nella Tabella 1 . e l'unica cosa 
che dovremo fare è accertarci che 
tutti i file di configurazione dei pc, che 
costituiscono la nostra rete Kerberos, 
utilizzino gli stessi campi nella voce 
server, per averli tutti sincronizzati sulla 
stessa ora. 




TABELLA 1: 

Il file /etc/ntp.conf 

# /etc/ntp.conf, configurati ion 
for ntpd 

# ntpd will use syslogO if 
logfile is not defined 

ft logfile /var/log/ntpd 
driftfile /var/lib/ntp/ntp. 
drift 

statsdir /var/log/ntpstats/ 
statistics loopstats 
peerstats clockstats 
filegen loopstats file 
loopstats type day enable 
filegen peerstats file 
peerstats type day enable 
filegen clockstats file 
clockstats type day enable 



# sezione dedicata ai server 
per la sincronizzazione, è 
importante che 

• tutti i pc delle stessa LAN 
usino gli stessi indirizzi 
ip. 

server 193.204.114.231 

server 131.188.44.45 
server 134.214.100.6 

Ora che siamo sicuri che tutti i 
pc della rete Kerberos sono stati 
sincronizzati, dobbiamo accertarci 
che sia ben configurato il Dns nella 
macchina che farà da server Kdc. 
Procediamo quindi con l'installazione 
dei pacchetti necessari nel server, 
utilizzando la distribuzione Red Hat 
come piattaforma di base. Sarà 
facile trasportare le stesse nozioni 
anche su macchine con installate 
altre distribuzioni, perciò lasciamo 
al lettore il compito di adattare le 
soluzioni di questo articolo alle 
esigenze personali. 

Per prima cosa installiamo i pacchetti 
krb5-libs, krb5-server, krb5- 
workstation. Dopo aver installato 
il software necessario dobbiamo 
decidere come chiamare il nostro 
Realm. Una convenzione molto usata 
è quella di utilizzare lo stesso nome 
del dominio, utilizzando però solo 
lettere maiuscole, come ad esempio 
HACKERJOURNAL.IT per il dominio 
hackerioumal.it. 
I due file di configurazione da 
modificare sono /etc/krb5.conf e /var/ 
kerberos/krb5kdc/kdc.conf 
Potete vedere un esempio di come 
vanno configurati questi due file nelle 
Tabelle 2 e 3. Ovviamente dovete 
sostituire ad "esempio.com" il vostro 
dominio, e ad "ESEMPIO.COM" il 
vostro Realm. Dovete fare attenzione a 
non scambiare per errore maiuscole e 
minuscole, perché in questa situazione 
hanno diversi significati. 



TABELLA 2: 

Esempio di file /etc/krb5.conf 

[logging] 



HACKER JOUR. 



*;mn 



default = FILE: /var/ log/ 
krb51ibs.log 

kdc = FILE:/ var /log/krb5kdc. 
log 

admin server ■ FILE: /var/ 
log/kadmind . log 

[libdefaults] 
ticket lifetime = 24000 
default rea In» » ESEHPIO.COM 
dna lookup realm ■ false 
dns lookup kdc » false 

[realms] 



ESENPIO.COM ■ { 

kdc ■ kerberos . esempio . 
con: 88 

admin server = kerberos. 
esempio. eoo: 74 9 

default domain = esempio. . 



master key type = des-ebc- 
crc 

supported enetypes ■ 
des3-cbc-shal :normal 
des3-cbc-shal :norealm 
des3-cbc-shal :onlyrealm 
des-cbc-crc:v4 des-ebc- 

:afs3 des-cbc-crc: nomai 
des-cbc-crc :norealm 
das - ebe -ere : onl yrealm 
-cbc-md4:v4 des-ebe- 
:afs3 des-cbc-md4 : norma 1 
des - ebe -md4 : norea lm 
-ebe -md4 : onlyrealm 
-cbc-«d5:v4 des-ebe- 
md5:afs3 des - ebe -md5 : norma 1 
des - cbc-md5 : norealm 
des-cbc-mdS : onlyrealm 
de»-cbc-shal:v4 des-ebe- 
shal:afs3 des - ebe - sha 1 : norma 1 
de s-cbc-shal: norealm des-ebc- 
sha 1 : onlyrealm 



£ 



[domain realm] 

pio.com = ESEMPIO.COM 
io.com = ESEMPIO.COM 



[kdc] 

profile = /var /kerberos/ 
krb5kdc/kdc.conf 

[appdefaults] 
pam = { 
debug ■ false 
ticket lifetime 
renew lifetime ■ 36000 
forwardabl 
krb4 



TABELLA 3: 
Esempio del file 
configurazione /var/k 
krb5kdc/kdc.conf 

kdcdefaults] 

acl file = /var /kerberos/ 
krbSkdc /kadmS . acl 

dict file ■ /usr/share/dict/ 
words 

admin keytab ■ /var/ 
kerberos /krbSkdc/kadmS . keytab 

v4 mode - nopreauth 

[ realms ] 
ESEMPIO.COM 



Dopo aver inserito i nostri dati nei 
due file di configurazione principali 
del server KDC, dobbiamo creare 
il database che conterrà le eh 
tramite il comando: 

4 /usr /kerberos/ " 



create -» 



server in un file e se 
non specificata occorrerà reinserirla 
ad ogni reboot del server. Una 

i il database delle chiavi, 
quali principal 
avranno permesso di modificare il 
database delle chiavi di kerberos, 
agendo sul file di configurazione / 
var/kerberos/krb5kdc/kadm5.acl. 
Solitamente m questo file basterà 
ire questa unica linea: 

"ESEMPI0.COM * 

le indica ai server Kerberos che 
qualsiasi utente che abbia un'istanza 
di admin nel realm ESEMPIO.COM. 
possiede anche pieni poteri sul 
> database. Le istanze, come al solito, 
vengono indicate nel principal in un 
modo simile a quer 

max/admin@ESEMPIO 



dove la voce prima dello T indica 
l'utente, la stringa compresa tra lo 
slash e la chiocciola indica l'istanza, e 
la parte finale indica il Realm. 



KADMIN 



Per amministrare i principal si 
utilizzerà il programma kadmin, che 
si connette al demone kadmind 
utilizzando un'autenticazione 
Kerberos. Ovviamente per poterlo 
utilizzare l'amministratore dovrà 
creare almeno un Principal di 
partenza, con il quale potrà 
successivamente eseguire kadmin. 
Per creare il primo principal, basterà 
eseguire il comando: 

• /usr/kerberos/sbin/kadmin. 
locai -q "addprinc max/admin" 

Il comando kadmin. locai si usa 
solamente nello stesso host del 
Kdc e non utilizza l'autenticazione 
■*■ Kerberos, che, d'altra parte, 

i sarebbe ancora disponibile a 
causa dell'assenza di principal nel 
database. Lo stesso comando si può 
utilizzare per aggiungere altn utenti, 
come ad esempio: 

• /usr/kerberos/sbin/kadmin. 
locai -q n addprinc max" 

L'utente appena creato non possiede 
un'istanza di admin ed è considerato 
quindi un utente standard. Dopo 
aver aggiunto gli utenti, dovremo far 
partire i demoni per Kerberos: 

• /etc/init.d/krb5kdc start 

• /etc/init .d/kadmin start 
f /etc/init. d/krbS24 start 

Per farti partire automaticamente 
ad ogni avvio possiamo utilizzare il 
programma chkconftg: 

• chkconfig --level 345 
krb5kdc on 

i chkconfig --level 345 
kadmin on 

chkconfig --level 345 

b524 on 



Abbiamo quindi terminato la 
configurazione del server. Prima di 
passare ai client è necessario porre 
attenzione ancora su qualche aspetto 
di sicurezza. Data la centralità del 
.sistema di autenticazione Kerberos, è 
indispensabile per un amministratore 
avere la certezza che la macchina 
che funge da Kdc sia protetta contro 
accessi non autorizzati. 

appena 
visto possono permettere ad un 
intruso di creare un personal e 
^conseguentemente di avere accesso 
I a tutti i computer che fanno uso 
dell'autenticazione Kerberos. 
' i Inoltre, la sicurezza di questo 

sistema si estende solo ai programmi 
che fanno uso dell'autenticazione 
■T Kerberos, quindi dovremo sostituire 
■ i programmi insicuri con applicativi 
** che offrono già il supporto a questo 
sistema. Inutile dire che se un utente 
l. .utilizza il classico telnet, lascia che 
+ la sua password venga trasmessa in 
w chiaro. Se questa disgraziatamente 
e la stessa utilizzata per Kerberos, 
I allora il suo account è compromesso 
\ indipendentemente dalla sicurezza del 
sistema del MIT. 



IL GLIE 



Per proseguire con il nostro esempio 
di campo applicativo di Kerberos, 
configureremo una macchina client 
per supportarne l'autenticazione. Se 
stiamo installando da zero il client, 
possiamo utilizzare l'apposito pannello 
di configurazione che viene fornito 
con il setup della Red Hat : alla voce 
configurazione dell'autenticazione 
ci viene permesso di utilizzare 
Kerberos. scegliendo tra le tre opzioni 
disponibili (Accesso ad una rete che 
usa Kerberos. accesso ad un Kdc o 
accesso ad una macchina che utilizza 
kdamind). 

Se invece dovete effettuare questo 
procedimento dopo la prima 
installazione, allora dovete assicurarvi 
di aggiungere i pacchetti krb5-libs 
e krb5-workstatk>n, ed eseguire il 



programma authconfig. 

In generale le operazioni da fare sono 
copiare il file /etc/krb5.conf in tutti i 
client e cambiare il file /var/kerberos/ 
krb5kdc/kdc.conf in modo coerente. 
Dopo aver creato correttamente questi 
due file, dobbiamo creare un pnncipal 
corrispondente all'host da aggiungere 
alla rete. Per fare quest'ultimo 
passaggio dovremo eseguire nel Kdc: 

# kadmin 

Che ci fornirà una console con la quale 
andiamo ad aggiungere l'host: 

# addprinc -randkey host/ 
clientl.esempio.com 

Dove la parte successiva al T 
corrisponde al nome dell'host da 
aggiungere. L'opzione randkey serve 
a creare una chiave casuale. Dopo 
aver creato il principal per il client, ne 
estrapoliamo le chiavi: 

# ktadd -k /etc/krb5.keytab 
host /ci i ent 1 . esempio . eoo 

Ora abbiamo a disposizione un 
sistema Kerberos 5 funzionante, ma 
dobbiamo assicurarci che i programmi 
utilizzino questo sistema per 
autenticare i loro utenti. 

In generale, un'applicazione deve 
già essere stata pensata per un 
determinato sistema di autenticazione, 
quindi è necessario cercare la versione 
che utilizza kerberos o ricompilare i 
sorgenti dopo averli modificati allo 
scopo. 



MODULI DI 
AUTENTICAZIONE 



I moduli di autenticazione Pam 
ci vengono in aiuto, fornendo un 
livello di astrazione sufficiente 
ad evitare la ricompilazione 
e l'adattamento di tutte le 
applicazioni che li utilizzano. 
Per esempio, per l'accesso al 
sistema il file di configurazione per 



l'autenticazione è /etc/pam.d/login, 
e modificando questo file in tutti i 
client potremo utilizzare Kerberos per 
il login di sistema. Un esempio della 
configurazione per il login e per il 
servizio Ftp è mostrato nella Tabella 4. 

Ovviamente dovremo configurare 
ogni file di configurazione della 
directory /etc/pam.d relativo ai servizi 
che vorremo autenticare attraverso 
Kerberos. 



TABELLA 4: 

Utilizzo di kerberos in /etc/pam.d/ 

login 

•/etc/pam.d/login 

auth required /lib/security/ 

pam securetty.so 

auth required /lib/security/ 

pam nologin.so 

auth sufficient /lib/security/ 

pam krbS.so 

auth required /lib/security/ 

pam pwdb.so shadow nullok 

use first pass 

#/etc/pam.d/ftp 

auth required /lib/security/ 

pam listnle.so item=user 

sense=deny file»/etc/f tpusers 

onerr» succeed 

auth sufficient /lib/security/ 

pam krbS.so 

auth required /lib/security/ 

pam pwdb.so shadow nullok 

use first pass 

auth required /lib/security/ 

pam shells.so 



CONCLUSIONI 



Ora che abbiamo imparato come 
utilizzare un sistema di difesa 
abbastanza potente, dobbiamo 
essere sicuri che ogni componente 
utilizzato lo sfrutti, eventualmente 
eliminando gli altri sistemi di 
autenticazione, togliendo gli utenti dai 
sistemi non Kerberos ed obbligandoli 
quindi al suo utilizzo, magari dopo un 
periodo di test. 
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PER IL CORSO \H C 

Ciao a tutti! 

Sono un vostro lettore da molti anni. 

Ho molto apprezzato la vostra idea di pubblicare 

i vecchi numeri in pdf e la proposta di un 

abbonamento on-line. 

Volevo tuttavia consigliarvi due cose sul corso C: 

- quando il corso sarà concluso perché non uscite 

con un volume speciale che raccoglie tutte le 

puntate? 

• trattate anche qualche puntata sulla 

programmazione delle interfacce 

perché penso possa essere utile, interessante e dia 

un tocco di qualità tipico di HJ. 

Giorgio Boiero 

Caro Giorgio, l'idea della raccolta ci era già venuta e 
la tua mail rafforza l'idea che. in effetti, non sia male. 
La proporremo all'editore, vediamo cosa si riesce a 
fare. Per quanto riguarda invece il corso in C ci sono 
due cose da segnalare: la prima è un gradimento (e 
un successo) che è andato oltre le nostre aspettative, 
la seconda, proprio sulla scorta del successo 
riportato, è quella di allungare leggermente il 
corso, aggiungendo una "coda" per trattare alcuni 
argomenti fin qui esclusi. 

Riguardo gii spazi e la quantità di pagine aggiunte ci 
stiamo ragionando. Non saranno tantissime perché 
lo spazio sul giornale è ristretto ed è stato già 
abbondantemente "sacrificato" al corso in C nell'arco 
di questi mesi (ci mettiamo nei panni anche di coloro 
che non sono interessati al corso e saltano a pie pari 
le 6 pagine di ogni numero), ma un allungo quasi 
sicuramente ci sarà. 

U«A RAFFICA 01 PROPOSTE 

Salve. 

da qualche tempo leggo con interesse e passione 

la vostra rivista; secondo me e tra le poche riviste, 

forse l'unica che scriva cose veramente uniche, 

utili, e particolari riguardo al mondo informatico. 

Negli ultimi due numeri ho letto riguardo al 

cambiamento della veste grafica e delle scelte 

editoriali. 

Devo dirvi che le condivido in parte. 

Personalmente io valuterei se intraprendere una 

strada completamente opposta. 

Cerco di illustrar/eia in breve: 

1) sdoppiamento di target. 

La rivista si sdoppierebbe nel senso che farei 

uscire due numeri di rivista per due differenti 

target: un numero per il "pubblico o neofiti ". 

un altro per i più appassionati e ferrati in 

informatica, programmazione etc. 



Nella rivista per il pubblico argomenterei ad 

esempio, su sistemi operativi -tutti anche per 

mobile e phone- pregi, difetti, come migliorare 

la sicurezza di una rete domestica etc, piccolo 

codice ( in vari linguaggi) da usare per applicazioni 

pratiche, per crearsi piccoli giochi, etc. 

Notizie dal mondo dell'informatica, software. 

hardware recensioni. Bello sarebbe inserire un po' 

di storia dell'informatica della matematica e loro 

risvolti sull'unanità. 

Pubblicherei delle rubriche pratiche periodiche: ad 

esempio una rubrica A ogni mese: un'altra B ogni 3 

mesi; oppure un altra C ogni Ogni 6. etc 

Inserirei anche un po' di -ahi noi- pubblicità; molto 

scelta e mirata e poco consumìstica. 

Stampata in carattere gradevole, non grande o 

troppo piccolo, secondo il format di un rotocalco 

senza perdere lo stile Hackerjournal. 

Un formato pratico quasi da "esibire" sempre da 32 

pagine. Molto spazio a posta e problemi. 

Una rivista che. tratterebbe in modo facile 

argomenti difficili, da leggere tutta d'un fiato 

ovunque (anche sotto l'ombrellone), da finire 

subito, e rendere quindi interminabile l'attesa per il 

numero del mese prossimo. 

In realtà un viatico per la lettura dell'altra rivista 

quella per appassionati. 

Per la rivista dedicata agli appassionati vanno 

bene le impostazioni dei numeri dal 200 in 

poi. Nessun compromesso codici, linguaggi di 

programmazione. SQL etc. Nessuna pubblicità. 

2) abbonamenti 

Per entrambe la rivista disponibile abbonamento 
tramite posta e pdf da scaricare dal sito e "pagare 
tramite i soliti metodi di e-commerce". Per la rivista 
per appassionati magari per contenere i costi delle 
spedizioni postali (non c'è pubblicità ricordo) si 
potrebbe optare per una spedizione che contenga 
due numeri invece che uno. 

3) Diversi tempi di uscita. 

La data del 23 di ogni mese è molto buona perchè 

non mi pare escano molte altre riviste in questa 

data; si potrebbe far uscire l'edizione per il 

pubblico. 

Mentre l'edizione per appassionati potrebbe uscire 

verso il 7-15 di ogni mese, "quando l'attesa per 

l'altra edizione diventa insopportabile." 

4) Grafica 

Marchio più piccolo, stilizzato e 3d; qualche 
teschio qua e là (volendo). Va bene la struttura e lo 
sfondo delle pagine. 

Disseminare le due edizioni di giochini in tema più 
o meno difficili, alcuni a pronta soluzione altri a 
soluzione a prossimo numero, altri senza soluzione 
nel senso che il gioco resta solo fino a quando 
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viene data la soluzione. 

Pubblicizzare gli articoli di una rivista sull'altra in 

modo da suscitare interesse. 

Da valutare il tutto ovviamente. 

Penso che il risultato sia che chi legge la rivista 

per il pubblico leggerà anche quella per esperti e 

viceversa. 

Intanto grazie per tutto l'eccelente finora fatto. 

Da un affezionato 

L'idea dello sdoppiamento ci frulla in testa da un 
po'. Abbiamo diversi responsabili IT di aziende che 
ci scrivono per manifestare il loro apprezzamento 
(e chiederci una veste più sobna). Però... Già c'è 
un però. In tempi di crisi, come questi, qualsiasi 
operazione editoriale nuova rappresenta un grosso 
rischio. Bisogna prima fare dei test. Accertarsi 
che l'idea possa funzionare. Per questo motivo 
abbiamo inserito la sezione Secuhty Lab. E' il nostro 
laboratorio di sicurezza in cui trattiamo temi che 
interesseranno sicuramente tutti i lettori ma che 
sono mirati proprio ad un target molto professionale. 
Vediamo come va. In base la gradimento manifestato 
forse potremo valutare l'ipotesi di creare una costola 
di Hacker Journal che sia indirizzata proprio ad un 
target specializzato. 

IL SUPERFLUO INDISPENSABILE 

Volevo farvi notare che avete fatto dei Grandi 
Progressi nella rivista, ho particolarmente 
apprezzato l'eliminazione di molte cose superflue, 
la grafica migliorata e l'aggiunta di più articoli sulla 
sicurezza e sulla programmazione. 
Il massimo sarebbe anche eliminare del tutto o 
quasi le immagini di teschi o cose varie, perchè 
alla fine non servono a nulla, per quanto riguarda 
il colore delle pagine per differenziare i diversi temi 
èOK. 

Qualcosa di più mirato ogni tanto su Mac e Linux 
( sicurezza, programmazione) non guasterebbe, 
restando sempre in tema mi piacerebbe se fosse 
pubblicato anche un corso su Python (linguaggio 
a dir poco Stupendo) sui protocolli di rete, 
soprattutto Telnet e Ssh e un'accennata alla 
programmazione shell Bin/Bash. Fate quello che 
potete... ;-) 

Oltre gli argomenti di informatica sarebbe bello 
trattare altri temi, ad esempio ricordo i primi 
numeri che compravo in cui leggevo il modo per 
modificare una radio facendola diventare uno 
scanner, tubi di pringles fatti diventare antenne 
Wireless. 



Continuate cosi, state andando alla grande! 

Oddio, proprio alla grande magari no, visti i risultati 
di vendita. Scherzi a parte la tua mail ci dà lo spunto 
per tornare su alcuni temi. Il primo è la grafica. 
Personalmente non pensiamo che i cambiamenti 
grafici siano cosi importanti, però visto che molti 
letton ci hanno chiesto di ridurre/abbandonare 
parte della grafica stile Street Aris presente fin 
dai pnmi numen, in particolare \ tanti tesch ietti, 
rispondiamo volentieri a questo input inaugurando, 
in questo numero 205, una veste grafica più pulita. 
Per quanto riguarda l'apertura a Mac e Linux stiamo 
dedicando un po' di spazio e in questo numero 
trovi un ottimo articolo per Mac/Unix e almeno due 
dedicati a piattaforma Linux. Infine il corso di Python: 
è già in produzione, aspettiamo di finire il corso in 
C e di capire quanto spazio, a numero, possiamo 
dedicargli, però e certo che si farà. 

CONTRIBUTO IN C 

Salve, mi chiamo Carmine De Fusco e sono 
una accanito lettore della vostra rivista mensile 
"HackerJournal" anche se la seguo da poco ho 
notato come è sempre ben piena di contenuti 
grazie ai quali anche chi non è un esperto di 
informatica può leggerla senza trovarsi In 
difficoltà in quanto rendete un argomento difficile 
comprensibile ad una vasta gamma di utenti. 

Comunque vi ho contattato per dirvi che mi 
piacerebbe caricare sul vostro portale un 
programma fatto in C che crypta i file e se vi 
avrebbe fatto piacere scrivere un articolo dove 
descrivevo l'algoritmo utilizzato per il criptaggio. 
L'algoritmo è molto molto semplice, sotto non 
c'è niente di complesso detto in poche parole il 
programma prende in input un qualsiasi file e in 
base alla password che inserisce l'utente viene 
criptato il file byte per byte discorso analogo 
per il criptaggio comunque vi invio in allegato il 
programmino in C , vi ripeto non è niente come 
algoritmo di cryptaggio ma mi sembra essere 
un buon esempio per chi si affaccia per la prima 
volta alla programmazione e vuol vedere qualcosa 
di concreto fatto in C senza soffermarsi ad un 

approccio solo teorico ma anche pratico :). 

Ti ringraziamo per il contributo. Mettiamo il tuo 
programma nella sezione download del nostro sito 
(www.hackerjournal.it). Vediamo cosa ne pensano i 

letton. 
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Diamo uno sguardo ad un caso reale. 



Ione sta diventando una 
dalle più diffuse tecno- i 
logie per la erezione di 
siti web ad alto contenu- 

interazione con l'utente. In molte 
istanze di portali si rende neces- 
sario disporre di un sistema atto a 
reperire informazioni da fonti remo- 
te; un esempio è rappresentato da 
un gruppo di siti che condividono 
news. 

In uno scenario del genere risulta 
di vitale importanza disporre di uno 
standard per lo scambio di infor- 
mazioni. Tale standard, implemen- 
tabile anche in Pione, è rappresen- 
tato da RSS. 

La sua genesi è abbastanza sof- 
ferta: il protocollo RSS nasce nel 
1999, quando Netscape rilascia la 
versione 0.90. Sono gli anni in cui 
Netscape punta molto sulla perso- 
nalizzazione dei portali web. 
Inizialmente il protocollo RSS è 
utilizzato prevalentemente come 
mezzo per l'implementazione di 
portali personalizzati da liste di link 



e news, che l'utente può aggiun 
re alla propria area privata. Dopo il 
rilascio della versione 0.91 Netsca- 
pe abbandona il progetto RSS, 
rilevato, in seguito, da Dave Winer 
che l'avrebbe utilizzato come base 
dei sistemi di content management 
di Userland (www.userland.com). 
Contemporaneamente un altro 
gruppo di sviluppatori comincia a 
lavorare alle specifiche RSS, rila- 
sciando la versione 1.0 del proto- 
collo: è in questo momento che ini- 
ziano a manifestarsi i sintomi della 
rivalità. Winer, irritato dal rilascio 
della versione 1 .0, inizia una serie 
di rilasci del protocollo RSS, che si 
concludono con la versione 2.0. 
La situazione attuale, quindi, è la 
seguente: esistono due formati 
concorrenti che svolgono la stessa 
funzione. Infatti, le due specifiche 
hanno gli stessi elementi di base, 
ma una diversa filosofia di fondo. 
RSS 2.0 punta alla semplicità. RSS 
1.0 focalizza l'attenzione sulla ric- 
chezza semantica e all'estendibilità 
con moduli esterni. 




SIBNIFIC 
DI RS! 



L'acronimo RSS. nell'accezione ori- 
ginana, sta per Rich Site Summary, ri- 
chiamando nel nome lo scopo per cui 
nasce: la descrizione dei contenuti 
dei portali sviluppati da Netscape. 
RSS significa anche RDF Site Sum- 
mary, che nel nome richiama l'ado- 
zione dello standard RDF rilasciato 
dal W3C per la descrizione delle 
metainformazioni contenute, appun- 
to, in un documento RSS. 

Personalmente preferisco la 
accezione, che racchiude mt 
camente la natura del formato RSS, 
ossia la condivisione di contenuti 
mediante l'utilizzo dei metadati strut- 
turati, che permettono la sindicazione 
di risorse web. 

Le principali differenze tra i van 
formati rilasciati sono riportati nella 
tabella seguente. 
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Caratta 
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Netscape 
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Userland 
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odala versione 0.91 B 

nente rimpiazzato dalla versone 2.0 
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immaginiamo di voler scrivere 
un'applicazione in grado di leg- 
gere dai canali RSS, in modo 
da poter pubblicare sul proprio 
portale i titoli delle notizie offerte 
dai singoli canali. La domanda da 
porsi è la seguente: a che cosa 
assomiglia un documento RSS? La 
risposta dipende dalla versione di 
RSS utilizzata. Se, ad esempio, la 
fonte RSS è codifcata nel formato 
0.91 , si ottiene un documento del 
genere: 

<rss version="0.91**> 
<channel> 

<title>XML.com</title> 

<link>httpt //www.xml. 
com/</link> 

<description> XML.com 
features a rich mix of In- 
formation and services for 
the XML community .< /de - 
scription> 

<language>en-us</lan- 
guage> 

<it 



i sule specfiche RDF del WX, ha una 
i che permette l'estensione del 
dei nomi di metadati con modui r~ 
ida un singoio vi 

con moduli per la, 
offre funzionalità avanzate rispetto alieversont 
chetoprecectorvj.ajntjrjlatodaUsertare ' 



/pub/a/2009/12/04 /norma- - 
ing.html</link> 

<description>In this 



second and final look at 
applying relational nor- 
malizat i ~ 
W3C XML i 
ling. Mi; 

se s when not to norma lise, 
the scope of uniqueness and 
the fourth and fifth nomai 
formi . < /descript ion> 

</item> 

<item> 

<title>The .NET Sche- 
ma Object Model</title> 

<link>http: / /www. xml. 
com/pub/a/2009/12/04/som. 
html</link> 

<description>Priya 
Lakshminarayanan describes 
in detail the use of the 
.NET Schema Object Model 
for programmatic manipula- 
tion of M3C XML Schemas.</ 
description> 

</item> 

<item> 

<title>SVG's Past and 
Promising Future</title> 

<link>http: / /www. xml . 
com/pub/a/2009/12/04/svg. 




Quint looks back at SVQ's 
journey through 2008 and 
looks forward to 2009. </de- 
scription> 
</it 



Sembra semplice da leggere, 

giusto? 

Un documento RSS è composto 

da un tag canale (channel) che 

contiene un tag titolo (title). link, 

descrizione (description), lingua 

(language opzionale) e un tag item 

che, al proprio interno, contiene 

di nuovo un titolo, un link e una 

descrizione. 

Descriviamo, adesso, un formato 

RSS di tipo 1.0 

<rd£:RDF 

xmlns:rdf «"http: //www. 
w3.org/1999/02/22-rdf-syn- 
tax-nst" 

xmlnsc'http : / /puri . org/ 
rss/1.0/" 

xnlns :dc="http: //puri . 
org/dc/elements/1. 1/" 
> 

< channel 
rdf :about-"http: //www. xml. 
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com/cs/xml/query/q/19"> 

<title>XML.com</title> 
<link>http: //www. xml . 
com/</link> 

<deacription>XML.com fea- 
tures a rich mix o£ Informa- 
tion and services for tha XML 
community. < /descript ion> 

<language>en-us</langua- 
ga> 

II— il 
<rdf :Seq> 
<rdf :li 

ce="http://www.xml. 
2009/12/04/normali- 




izing.html* > 
t i t le>Norm*l izing 
2</titla> 

1 iak>http : / /www. xml . 
/2009/12/04/uormali 
</link> 

-da3cription>In this se- 
and final look at ap- 

relational 
tacbnlques to W3C 
data model ing, 
Provoat discusses when 
to normali za, tha scope 
uniqueness and tha fonrth and 
fifth normal forms. </descrip- 
tion> 

<dc:craator>Will Pro- 
voat < /de : creator > 

<dc:date>2009-12-04</ 
dc:data> 
</itam> 

<itam rdf :about=-http:// 
www.xml.eom/pub/a/2009/12/04/ 
som. html" > 

<title>The .NET Schema 
Object Model</title> 

<link>http : / /www. xml . com/ 
pub/a/2009/ 12/04 /som. html </ 



<description>Priya La- 
kshmi narayanan de se ribes in 
detail the use of tha .NET 
Schema Object Model for prò- 
grammatic manipulation of W3C 
XML Schemas. < /de script ion> 

<dc: creator >Priya La- 
kshmi narayanan < /de : creator > 

<dc:date>2009-12-04</ 
dc:date> 
</ite 

<item rdf :about> w http:// 
www.xml.eom/pub/a/2009/12/04/ 
svg.html"> 

feMe>SVG's Past and 
Promigina; Future</titla> 

<link*http: //www. xml. com/ 
pub/*/200ÉA12/04/svg.html</ 




In this 
, Antoi- 
int looks back at SVO's 
ey through 2008 and loo- 
forwaxd to 2009.</de*c* , in- 
>* Ik I 
<dc : creator >Antoine 
nt</dc j creator > 



te più 
comprendere. 
Per chi conosce la sintassi RDF to sfor- 
zo è quasi nullo: infatti nella versione 
1 .0 di RSS si richiama lo stile adottalo 
nel' RDF; le phneipai differenze rispet- 
*~ alta versione 0.91 sono le seguenti: 

a radice del documento cambia da 
rssardf:RDF: 

- 1 introduzione dei namespaces che 
permettono di stabilire l'ambito dei tag 
utilizzati nel documento: 

- l'introduzione dei campi dublin core 
dc:date e dc:creator 

- la diversa struttura obi aucumenio 
RSS: cambia il tag charme! che con- 
tiene un rdf:Seq ed i tag item vengono 
scorporati dal nodo channel. 

Considenamo, infine, lo stesso docu- 
mento presentato precedentemente, 
codificato nella versione 2.0 del proto- 
collo RSS. Il 



<rss version»"2 . 
xmlns :dc = **http: //puri .org/ 
dc/elements/l.l/"> 
<channel> 

<title>XML.com</title> 
<link>http: //www. xml. 
com/</link> 

<description>XML.com 
featurea a rich mix of In- 
formation and services for 
the XML community . </de- 
scription> 

<language>en-ua</lan- 
guage> 
<it 

<title>Normal izing 
XML, Part 2</title> 

<link>http: //www. xml, 
com/pub/a/ 2009/12 
lizing.html</link 

<description>Xn this 
second and final look at 
applying relati onal nor 
mali rat ion techniquea t< 
M3C XML Schema data 
ling, Nili Provoat disc 
888 when not to normali za, 
scope of uniqueness an 
fourth and fifth no 
forma. < /descript ion> H 

<dc : crea tor >W: 1 f^Pro 
vost < /de : creator > 

<dc:date>2 
de :date> 

</item> 
< itasi 

<titl prhe .NET Sche- 
ma Object Model</title> 

<linJr- http: //www. xml, 
com/pub/a/20 09/ 12/04 /som. 
html</link> 

<description>Priya 
Lakshminarayanan describes 
in detail the use of the 
.HET Schema Object Model 
for programmati e manipula- 
tion of W3C XML Schemas. 
description> 

<dc : creator > Priya 
kshminarayanan< /de : crea 
<dc:date>2009-12- 
dc :date> 

</item> 
<item> 

<title>SVG's Past 
Promising Future</title> 

<link>http://www.xml. 
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eora/pub/a/2009/12/04/STg. 
html</link> 

<description>In this 
month's SVG column, Anto ine 
Quint looks back at SVG's 
journey through 2008 and 
looks forward to 2009. < /de- 
criptici^ 

<dc : creator >Antoine 
int </dc : creator > 

<dc:date>2002-12-04</ 
ta> 

/item> 
nanne 1> 
</r 

Come si può notare, anche la ver- 
sione 2.0 usa i namespace, ma la 
struttura non rispetta i vincoli RDF. 
I tag item sono, come nella versio- 
ne 0.91, inseriti all'interno del tag 
channel; inoltre restano i due tag 
dc:date e dcxreator presi dall'in- 
sieme dei campi dublin core. 

PERCHÉ RSS? 



Le fonti RSS sono in pratica dei 
file che offrono dei contenuti ed 
alcuni metadati su di essi. Posso- 
no essere derivati da pagine HTML 
oppure creati appositamente. La 
caratteristica che li differenzia 
dagli altri contenuti web è che non 



sono organi, 
sta grafico, ma semantico. C 
esempio tutto ciò sarà più «- 
Partiamo da un pozzo f 



e sodcl' 
> di vista 
da riut 



o per organizzare visivamente 
itenuto. Vediamolo trasforma^ 
i un semplice RSS: 



■"td-.../n • 



<trxtd colspaa«"4'*xa\ 

href «"http: / /wvw.aioBito. 
it"xb>Ecco a voi la ultii 
of f er te</bx/Ax/td> ■ / 

<trxtd><A 
href ■" http*// www. aloe Ito. 
it /soloplone">Solo plone</ 
A></tdxtd>Un sito pione 
senza alcuna personali. 
zione</tdx/tr> 

<trxtd><X 
href «"http: //www.miosito. 
it/n»ygraphic w >Granca per- 
sonai izzata</Ax/tdxtd>Un 
aito pione con la grafica 
peraonalizzata secondo le 
vostre esigenze</tdx/tr> 

<tr><td><A 
href»"http:// 
www.mioeito.it/ 
myplone" > Par sonai izzato</ 
Ax/tdxtd>Un sito pione 
modificato ad hoc</tdx/tr> 
</table> 

Possiamo vedere cosa generano 
queste poche righe nella figura 



Hosting per Pione 



tee* imk iJ — « • 



»t (MMBMi 

i %— ***** «* H ptto* 



<?xml ver sion»" 1. 
<rss ▼•raion*" 0.91' 



<channel> 

<title>Mio Sito< 



8 



<link>ttp://www 
it</li 

ultime 

tion 

<it«a> 

<title>So! 
title> 

<link>http: //www.mio- 
sito.it/soloplone</link> 

<deecription>Un sito 
pione senza alcuna persona- 
lizzazione. </deecription> 

</item> 

<item> 

<title>Grafica perso- 
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FICILE 



#• python 



Python Prognmming Language - Officiai Website 



»M 




ZU 



3=C 




i/-t- 



•rjUiuMt.-'rilniii 



r ^"fDwir «• *• mi eotrg tr mi no cc a » tr r» Pyrs» ne» 



?■» W>« hdwwq >yC<r *■*■ XHS. » e» "«a ■■ ta'yri « a- $«c »» KK T-nPV • cortuo"* ■» ara/* et S'OOC 5 




H»«» 



una-*-— «SCor»-«»«l 



»-« 



,3Di*r. 
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«■- 






■ aiM<<»r— »•*"■- *■"■■■■■■■ 

**r XJS-: 
■rrComlmMm»m» CaUterrtipni.il 

• rykaa m.» rataaa* caarfMat* i rcWanl 



grafica pera 



ttivo è di vedere come sia pos- 
sf ruttare questa tecnologia 
con Pione. 

t tua re ricerche su più siti Pione 
.temporaneamente 



link>http: //www. 
it /myplon«< / 1 ink> 
<de»cription>Un sito 
ona modificato ad hoc.</ 
scription> 
</it«jn> 
</chann«l> 
</rss> 

Già leggendo il codice è possi- 
bile notare come l'attenzione sia 
posta al valore semantico dei vari 
elementi e cioè al loro significato. 
Tutto ciò senza porre alcuna at- 
tenzione a come essi verranno poi 
rappresentati. 

Ci sarebbero ancora parecchie 
cose da dire su quest'argomento, 



. FETTUARE , 

ERCHE SU PIÙ 

I CON PLDNE 



Tra le funzionalità di Pione è 
presente, nel motore di ricerca 
interno, la generazione dinamica 
di un file RSS contenente l'elenco 
dei contenuti ricercati. Quindi è 
possibile interrogare un sito sulla 
presenza di documenti interessanti 
senza bisogno di navigarci sopra. 
Questa funzionalità è sfruttata dal 
prodotto PloneRSSSearch che 
potete scaricare qui: http.7/mge- 
niweb.sourceforge.net/Products/ 
PloneRSSSearch/ . 
Questo prodotto permette agli 
utenti del vostro sito di propagare 



ro è svolto 
dai client 



Odi Zoea Oprya 
tsaeGmn xu. 



automaticamente le loro 
su altri siti Pione. Un sei 
può essere molto utile per far 
risparmiare tempo e bau 
i dati che si muovon< 
quelli essen. 
dal server Zr~ 
degli utenti. 
Dopo averlo installato normalmen- 
te mediante la configurazione di 
Pione, entrate nella Zope Manage- 
ment Interface (ZMI) e all'interno 
del vostro sfto troverete un og- 
getto chiamato portai rsssearch. 
Quest'ultimo ha due proprietà, la 
prima si chiama searchable sites 
e al suo interno potrete scrivere 
gli indirizzi dei siti sui quali volete 
avvenga la ricerca. Un indiriz 
ogni riga. 

Immaginiamo che voi dobbiate 
gestire il sito di una facoltà e qi 
di tutti i corsi di laurea che ad essa 
afferiscono. In questi casi le infor- 
mazioni sono spesso disperse tra 
i vari siti e gli utenti devo visitarne 
un bel numero prima di arrivare 
su quello giusto. Se volete evita- 
re ai vostri utenti questa inutile 
complicazione basta che istalliate 
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PloneRSSSearch su ogni Pione 
configurato in modo che la ricerca 
avvenga sui siti correlati. 
Questo servizio ò disponibile solo 
per gli utenti registrati. Se fosse 
disponibile all'utente anonimo, es- 
sendo la ricerca in carico al server, 
qualche malintenzionato potrebbe 
sfruttarla per sovraccaricare la 
macchina che ospita il sito. 

Ma. come sapete, l'accesso ai 
contenuti di un sito Pione è sotto- 
posto ad una politica di sicurezza 
basata sui permessi che i singoli 
utenti hanno. Questo significa che 
una ricerca potrebbe non mostrare 
documenti a cui la persona avreb- 
be invece accesso. Per ovviare a 
questo problema ci viene incontro 
la seconda proprietà dell'oggetto 
portai rsssearch che sia chiama 

ddCookie. Questa è un flag che 

attivato fa si che, con la ricer- 
ca su gli altri siti, avvenga anche 
l'autenticazione e cioè vengano 
riportati tutti i contenuti che l'uten- 
te avrebbe trovato cercando da 
solo. Ovviamente questa opera- 
zione funziona se lo username e 
ia password sono fa stessa. Fate 
attenzione ad utilizzare questa fun- 
zionante solo se vi siete autenticati 
utilizzando i cookie, cioè come si 
'sp in almente con Pione, e non 

slla HTTP che viene tradizional- 

nte usata per la ZMI. 



CE SDLD 
LDNE! 



I siti che si occupano di informazio- 
ni sono parecchi e sovonte distri- 
buiscono i loro contenuti in formato 
RSS. ma non è detto che siano 
basati su Pione. Ma questo non è 
un problema poiché basandoci su 
di un formato comune possiamo 
comodamente scambiarci le news. 
In particolare a noi interessa come 
mostrare quelle presenti altrove 
sul nostro sito Pione. Per fare ciò 
esistono diversi prodotti, quello che 
impiegheremo in questo articolo è 
CMFSin che ha come grande van- 
taggio la semplicità. L'obiettivo di 
questo oggetto è quello di racco- 
gliere e organizzare delle sorgenti 



RSS, di mostrarne un riassunto in 
appositi slot laterali, simili a quel- 
li delle normali news Pione, e di 
visualizzarli completamente nel 
corpo della pagina qualora l'utente 
lo richieda. Anche per l'installazio- 
ne di questo prodotto è sufficien- 
te scaricarlo all'indirizzo http:// 
sourceforge.net/projects/collective 
e scompattarlo nella cartella Pro- 
ducts della nostra istanza di Zo 
Dopo aver riavviato il server 
averlo installato nella configu 
ne di pione all'interno della Z 
sito Pione troverete un nuovo 
getto chiamato sin tool. All'in 
di questo oggetto, selezionar! 
linguetta Config è possibil 
i siti da cui estrarre le mtg 
la sintassi è questa: 

[ch&nnels] 
zopenews 
news. r sa 
Python* 
oro/] 



te. Per fa 



IPnbM Bina 
..no 
'e vi 




amo un n 
e vogliamo utfl 
Sempre nella stessa casella d 
la sezione channel abbiamo q 
maps che definisce conio le n 
sor~ 
loro: 

[maps 

solo 

s o 1 o_py t hon«py fcho 

inai 



A questo punto siete pronti p 
a Pione di mostrare le vostre 
RSS come slot, per fare ciò è suf- 
ficiente aggiungere nelle proprietà 
loft slots o right_slots del vostro 
sito (o della cartella in cui volete 
che si vedano) un riferimento alla 
maps che volete utilizzare come se 
fosse una macro: 

here/sin tool/macros/python 

nere / sin_ t ool /aacros / zope - 

news 

here/sin tool /aacros /insie- 



Ora il vostro sito Pione è configura- 
to per mostrare le sorgenti RSS che 
voi avete scelto. 
Per configurazioni più raffinate 



aimente le news), ma è 



giù,, 
sin tool 
no anche essere usate n 
Bpagine ZPT, com 

maci 



NCLU5IDNI 



uè fonti RSS sono un efficace stru- 
mento per scambiare contenuti tra 
piattaforme differenti. Con Pione 
è particolarmente semplice sfrut- 
tarle grazie ai tanti prodotti che ne 
facilitano l'uso. Noi ne abbiamo 
esaminati solo due. ma ne esistono 
anche altri, ognuno con una parti- 
colare finalità. Anche nel caso non 
trovaste nulla di adatto alle vostre 
esigenze potreste sempre scri- 
vervelo grazie ai funzionali e ben 
documentati moduli di python per 
la filtrazione delle sorgenti RSS. 
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